← العودة إلى المدونة
بحث ٢٤ فبراير ٢٠٢٦ ١٨ دقيقة قراءة

الامتثال لتوجيه NIS2: الدليل الكامل للشركات الأوروبية

دخل قانون تطبيق NIS2 الألماني حيز التنفيذ في ٥ديسمبر ٢٠٢٥. تحل مواعيد التسجيل في BSI في مارس ٢٠٢٦. يغطي هذا الدليل كل ما يحتاج مسؤولو أمن المعلومات ومديرو تقنية المعلومات ومسؤولو الامتثال معرفته: من يجب أن يمتثل، وما هي الالتزامات، وكيف تبدو العقوبات، وكيفية بناء خارطة طريق عملية للامتثال.

+160K
كيان في الاتحاد الأوروبي ضمن النطاق
€10M
الغرامة القصوى
18
القطاعات المشمولة
24h
الإبلاغ عن الحوادث

ما هو توجيه NIS2؟

ℹ️ السياق

توجيه NIS2 (التوجيه (EU) 2022/2555) يحل محل توجيه NIS الأصلي لعام ٢٠١٦، الذي كان يُعتبر على نطاق واسع غير كافٍ في النطاق والتنفيذ. يوسع النطاق بشكل كبير من حوالي ١٠٬٠٠٠ كيان بموجب NIS1 إلى ما يُقدر بـ أكثر من ١٦٠٬٠٠٠ كيان في جميع أنحاء الاتحاد الأوروبي.

صُمم NIS2 لمعالجة ثلاثة نقاط ضعف أساسية: التطبيق غير المتسق عبر الدول الأعضاء، والنطاق المحدود الذي يغطي قطاعات ضيقة فقط، والإنفاذ الضعيف مع عقوبات منخفضة جداً لدفع التغيير.

في ألمانيا، دخل NIS2UmsuCG (قانون تنفيذ NIS2 وتعزيز الأمن السيبراني) حيز التنفيذ في ٥ ديسمبر ٢٠٢٥. BSI هو السلطة الإشرافية المعينة، وتبدأ مواعيد التسجيل في ٦ مارس ٢٠٢٦.


من يجب أن يمتثل لـ NIS2؟

انتقل NIS2 من نهج قائم على التعيين إلى آلية حد الحجم. تكون المؤسسات تلقائياً ضمن النطاق إذا استوفت معايير القطاع والحجم.

الملحق الأول — قطاعات ذات أهمية حرجة عالية (١١ قطاعاً)

القطاعأمثلة
الطاقةالكهرباء، النفط، الغاز، الهيدروجين، التدفئة المركزية
النقلالنقل الجوي، السكك الحديدية، المائي، البري
الخدمات المصرفيةمؤسسات الائتمان
البنية التحتية للسوق الماليةأماكن التداول، الأطراف المقابلة المركزية
الصحةالمستشفيات، المختبرات، الأدوية، الأجهزة الطبية
مياه الشربالتوريد والتوزيع
مياه الصرف الصحيالجمع، التخلص، المعالجة
البنية التحتية الرقميةIXPs، DNS، سجلات TLD، السحابة، مراكز البيانات، CDNs
إدارة خدمات تقنية المعلومات (B2B)MSPs، MSSPs
الإدارة العامةكيانات الحكومة المركزية
الفضاءمشغلو البنية التحتية الأرضية

الملحق الثاني — قطاعات حرجة أخرى (٧ قطاعات)

القطاعأمثلة
خدمات البريد والبريد السريعمزودو الخدمات البريدية
إدارة النفاياتالجمع، النقل، المعالجة
التصنيع الكيميائيالإنتاج، التوزيع
إنتاج الغذاءالمعالجة، التوزيع (على نطاق واسع)
التصنيعالأجهزة الطبية، الإلكترونيات، الآلات، المركبات
مقدمو الخدمات الرقميةالأسواق، محركات البحث، الشبكات الاجتماعية
البحثمنظمات البحث ذات التأثير الكبير

عتبات الحجم

⚠️ التغطية المستقلة عن الحجم

بعض الكيانات ضمن النطاق بغض النظر عن الحجم: مزودو خدمات الثقة المؤهلين، سجلات TLD، مزودو DNS، مزودو الاتصالات، الإدارة العامة، والمزودون الوحيدون للخدمات الأساسية.


الكيانات الأساسية مقابل الكيانات المهمة

الجانبالكيانات الأساسيةالكيانات المهمة
الإشرافاستباقي (مسبق)تفاعلي (لاحق)
الغرامة القصوى١٠ ملايين يورو أو ٢٪ من الإيرادات العالمية٧ ملايين يورو أو ١.٤٪ من الإيرادات العالمية
التدقيقاتمنتظمة، إلزاميةعند وجود دليل على عدم الامتثال
متطلبات الأمانمتطابقةمتطابقة

رؤية رئيسية

التزامات الأمان هي نفسها لكلا المستويين. الفرق يكمن فقط في كثافة الإشراف وسقوف العقوبات.


متطلبات NIS2 الرئيسية (المادة ٢١)

١٠ التزامات إلزامية

الجدول الزمني للإبلاغ عن الحوادث

الموعد النهائيالمتطلبالغرض
٢٤ ساعةإنذار مبكر لـ CSIRTالإشارة إلى حدوث حادثة كبيرة
٧٢ ساعةإخطار الحادثة مع التقييمالخطورة، التأثير، مؤشرات الاختراق
شهر واحدالتقرير النهائيتحليل السبب الجذري، التأثير، تدابير التخفيف

⚠️ المسؤولية الشخصية على مستوى مجلس الإدارة

تتطلب المادة ٢٠ من هيئات الإدارة الموافقة على التدابير الأمنية السيبرانية، والخضوع للتدريب، وتحمل المسؤولية الشخصية. بموجب قانون NIS2UmsuCG الألماني، يواجه المديرون التنفيذيون غرامات شخصية وإمكانية التعليق المؤقت من الأدوار الإدارية. هذه المسؤولية لا يمكن تفويضها بالكامل.


عقوبات وإنفاذ NIS2

€10M
غرامة الكيان الأساسي
2%
من الإيرادات العالمية
€7M
غرامة الكيان المهم
1.4%
من الإيرادات العالمية

بالإضافة إلى الغرامات، يمكن للسلطات إصدار تعليمات ملزمة، والأمر بوقف الأنشطة، وطلب الإفصاح العام عن عدم الامتثال، وتعليق الشهادات، و— للكيانات الأساسية — حظر مؤقت لوظائف الإدارة للأفراد المسؤولين.

⚠️ عقوبات بحجم GDPR للأمن السيبراني

بالنسبة لشركة بإيرادات مليار يورو، تبلغ الغرامة القصوى للكيان الأساسي ٢٠ مليون يورو. يجب مراجعة بوالص تأمين D&O لفجوات التغطية — لا يمكن التأمين بالكامل ضد المسؤولية الشخصية.


الجدول الزمني لـ NIS2: التواريخ الحرجة

التاريخالمعلم
٢٧ ديسمبر ٢٠٢٢نشر NIS2 في الجريدة الرسمية للاتحاد الأوروبي
١٦ يناير ٢٠٢٣دخول NIS2 حيز التنفيذ
١٧ أكتوبر ٢٠٢٤الموعد النهائي للتطبيق لجميع الدول الأعضاء
٥ ديسمبر ٢٠٢٥ألمانيا: دخول NIS2UmsuCG حيز التنفيذ
٦ مارس ٢٠٢٦ألمانيا: الموعد النهائي للتسجيل في BSI
١٧ أكتوبر ٢٠٢٧المفوضية الأوروبية تراجع عمل NIS2

اقتراب موعد BSI النهائي

التسجيل في مارس ٢٠٢٦ على بعد أسابيع. حدد فجوات الامتثال قبل التسجيل.

ابدأ فحص NIS2 المجاني ←

الامتثال لـ NIS2 خطوة بخطوة

خارطة طريق الامتثال من ١٠ خطوات

ℹ️ ISO 27001 ≠ الامتثال لـ NIS2

يوفر ISO 27001 أساساً قوياً لكن NIS2 يضيف متطلبات محددة: جداول زمنية إلزامية للإبلاغ عن الحوادث (٢٤ساعة/٧٢ساعة/شهر)، والمسؤولية الشخصية للإدارة، والتزامات مفصلة لأمن سلسلة التوريد. الشهادة وحدها لا تضمن الامتثال.


كيف يُؤتمت KENSAI الامتثال لـ NIS2

اكتشاف آلي لسطح الهجوم

يفحص KENSAI باستمرار سطح الهجوم الخارجي الخاص بك — النطاقات، النطاقات الفرعية، عناوين IP، الخدمات السحابية، واجهات برمجة التطبيقات المكشوفة — ويرسم الأصول مقابل نطاق NIS2 الخاص بك. جرد فوري لما تحتاج لحمايته.

رسم خرائط الثغرات القائم على CVE

مع أكثر من ٣٣٢٬٠٠٠ CVE، يحدد KENSAI الثغرات المعروفة ويربطها بمتطلبات NIS2. يتم تحديد أولوية كل نتيجة حسب درجة CVSS، وملاءمة NIS2، وإلحاح المعالجة بناءً على استخبارات التهديدات.

تحليل فجوات الامتثال لـ NIS2

يرسم الذكاء الاصطناعي وضعك الأمني مقابل جميع متطلبات المادة ٢١: درجة الامتثال، وتقرير الفجوات، والمعالجة المرتبة حسب الأولوية، وتوثيق الأدلة المناسب للجهات التنظيمية والمدققين.

رؤية مخاطر سلسلة التوريد

افحص البنية التحتية الخارجية للموردين لتحديد الخدمات المكشوفة، والثغرات، ومشاكل الشهادات، والتكوينات الخاطئة لـ DNS، وتاريخ اختراق البيانات — رؤية سلسلة التوريد التي يطلبها NIS2.

التسعير للامتثال لـ NIS2

البداية: €٩٩٠/شهر — المؤسسات المتوسطة الداخلة في نطاق NIS2. احترافي: €١٬٤٩٠/شهر — البنية التحتية وسلاسل التوريد المعقدة. مؤسسي: €٢٬٤٩٠/شهر — أتمتة الامتثال الكاملة مع دعم مخصص.


الأسئلة الشائعة: الامتثال لـ NIS2

ما هو توجيه NIS2؟

تنظيم الأمن السيبراني المُحدّث للاتحاد الأوروبي (التوجيه (EU) 2022/2555) لاستبدال توجيه NIS الأصلي. يضع تدابير إلزامية لإدارة المخاطر، والإبلاغ عن الحوادث، ومتطلبات أمن سلسلة التوريد عبر ١٨ قطاعاً حرجاً.

من يجب أن يمتثل؟

المؤسسات في ١٨ قطاعاً محدداً تستوفي عتبات المؤسسة المتوسطة (٥٠+ موظفاً أو €١٠M+ إيرادات) أو المؤسسة الكبيرة (٢٥٠+ موظفاً أو €٥٠M+ إيرادات). بعض الكيانات مثل مزودي DNS والاتصالات مشمولة بغض النظر عن الحجم.

ما هي العقوبات؟

الكيانات الأساسية: حتى €١٠M أو ٢٪ من الإيرادات العالمية. الكيانات المهمة: حتى €٧M أو ١.٤٪ من الإيرادات العالمية. بالإضافة إلى التعليمات الملزمة، والإفصاح العام، وتعليق الشهادات، والمسؤولية الشخصية للإدارة.

ما هي متطلبات الإبلاغ عن الحوادث؟

ثلاث مراحل: إنذار مبكر خلال ٢٤ ساعة، إخطار الحادثة خلال ٧٢ ساعة، التقرير النهائي خلال شهر واحد.

كيف يؤثر NIS2 على أعضاء مجلس الإدارة؟

تتطلب المادة ٢٠ من مجالس الإدارة الموافقة على التدابير الأمنية السيبرانية، والخضوع للتدريب، وتحمل المسؤولية الشخصية. بموجب القانون الألماني، يواجه المديرون التنفيذيون غرامات شخصية وإمكانية التعليق المؤقت.

هل ينطبق NIS2 على الشركات الصغيرة؟

بشكل عام لا (أقل من ٥٠ موظفاً / €١٠M إيرادات مستبعدون). توجد استثناءات لمزودي خدمات الثقة، وسجلات TLD، ومزودي DNS، والاتصالات.

كيف يرتبط NIS2 بـ ISO 27001؟

تداخل كبير، لكن NIS2 يضيف جداول زمنية إلزامية للإبلاغ عن الحوادث، ومسؤولية شخصية للإدارة، ومتطلبات مفصلة لسلسلة التوريد. شهادة ISO 27001 وحدها لا تضمن الامتثال لـ NIS2.

كيف يتفاعل NIS2 مع GDPR وDORA؟

يركز NIS2 على أمن الشبكة/النظام؛ GDPR على حماية البيانات الشخصية — قد ينطبق كلاهما على حادثة سيبرانية. يأخذ DORA الأسبقية للكيانات المالية بموجب مبدأ lex specialis.


هذا الدليل لأغراض إعلامية ولا يشكل استشارة قانونية. استشر محترفين قانونيين وأمنيين مؤهلين لالتزامات NIS2 الخاصة بك.

ابدأ رحلة الامتثال لـ NIS2

شاهد فجوات الامتثال الخاصة بك في دقائق. فحص يعمل بالذكاء الاصطناعي مع رسم خرائط NIS2 وDSGVO وDORA المدمج.

ابدأ الفحص المجاني ←

الأمن ليس اختيارياً.

🗡️ فريق KENSAI

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home