دخل قانون تنفيذ NIS2 الألماني حيز النفاذ في ٥ ديسمبر ٢٠٢٥. وتبدأ مواعيد التسجيل لدى BSI في مارس ٢٠٢٦. يغطي هذا الدليل كل ما يحتاج مسؤولو أمن المعلومات ومديرو تقنية المعلومات وموظفو الامتثال معرفته: من يجب أن يمتثل، ما هي الالتزامات، شكل العقوبات، وكيفية بناء خارطة طريق عملية للامتثال.
يحل توجيه NIS2 (التوجيه (EU) 2022/2555) محل توجيه NIS الأصلي لعام ٢٠١٦، الذي اعتُبر على نطاق واسع غير كافٍ من حيث النطاق والإنفاذ. وهو يوسع التغطية بشكل كبير من حوالي ١٠,٠٠٠ كيان في إطار NIS1 إلى ما يقدر بـ أكثر من ١٦٠,٠٠٠ كيان في جميع أنحاء الاتحاد الأوروبي.
صُمم NIS2 لمعالجة ثلاثة نقاط ضعف أساسية: التنفيذ غير المتسق عبر الدول الأعضاء، والنطاق المحدود الذي يغطي قطاعات ضيقة فقط، والإنفاذ الضعيف مع عقوبات منخفضة جداً لدفع التغيير.
في ألمانيا، دخل قانون NIS2UmsuCG (قانون تنفيذ NIS2 وتعزيز الأمن السيبراني) حيز النفاذ في ٥ ديسمبر ٢٠٢٥. ويعد المكتب الاتحادي لأمن المعلومات (BSI) هو السلطة الإشرافية المعينة، وتبدأ مواعيد التسجيل في ٦ مارس ٢٠٢٦.
انتقل NIS2 من نهج قائم على التعيين إلى آلية حد الحجم. تندرج المؤسسات تلقائياً في النطاق إذا استوفت معايير القطاع والحجم.
| القطاع | أمثلة |
|---|---|
| الطاقة | الكهرباء، النفط، الغاز، الهيدروجين، التدفئة المركزية |
| النقل | النقل الجوي، السكك الحديدية، المائي، البري |
| الخدمات المصرفية | المؤسسات الائتمانية |
| البنية التحتية للسوق المالية | أماكن التداول، الأطراف المقابلة المركزية |
| الصحة | المستشفيات، المختبرات، الأدوية، الأجهزة الطبية |
| مياه الشرب | التوريد والتوزيع |
| مياه الصرف الصحي | الجمع والتخلص والمعالجة |
| البنية التحتية الرقمية | نقاط تبادل الإنترنت، DNS، سجلات TLD، السحابة، مراكز البيانات، CDN |
| إدارة خدمات تكنولوجيا المعلومات (B2B) | مزودو الخدمات المُدارة، مزودو خدمات الأمن المُدارة |
| الإدارة العامة | كيانات الحكومة المركزية |
| الفضاء | مشغلو البنية التحتية الأرضية |
| القطاع | أمثلة |
|---|---|
| خدمات البريد والبريد السريع | مزودو الخدمات البريدية |
| إدارة النفايات | الجمع والنقل والمعالجة |
| التصنيع الكيميائي | الإنتاج والتوزيع |
| إنتاج الأغذية | المعالجة والتوزيع (واسع النطاق) |
| التصنيع | الأجهزة الطبية، الإلكترونيات، الآلات، المركبات |
| مزودو الخدمات الرقمية | الأسواق الإلكترونية، محركات البحث، الشبكات الاجتماعية |
| البحث | منظمات البحث ذات التأثير الكبير |
بعض الكيانات تندرج في النطاق بغض النظر عن الحجم: مزودو خدمات الثقة المؤهلون، سجلات TLD، مزودو DNS، مزودو الاتصالات، الإدارة العامة، ومقدمو الخدمات الأساسية الوحيدون.
| الجانب | الكيانات الأساسية | الكيانات المهمة |
|---|---|---|
| الإشراف | استباقي (مسبق) | تفاعلي (لاحق) |
| أقصى غرامة | ١٠ ملايين يورو أو ٢٪ من الإيرادات العالمية | ٧ ملايين يورو أو ١.٤٪ من الإيرادات العالمية |
| عمليات التدقيق | منتظمة وإلزامية | عند وجود دليل على عدم الامتثال |
| متطلبات الأمان | متطابقة | متطابقة |
التزامات الأمان متطابقة لكلا المستويين. الاختلاف يكمن فقط في كثافة الإشراف وحدود العقوبات.
| الموعد النهائي | المتطلب | الغرض |
|---|---|---|
| ٢٤ ساعة | إنذار مبكر إلى CSIRT | الإشارة إلى وقوع حادث كبير |
| ٧٢ ساعة | إخطار بالحادث مع التقييم | الخطورة، التأثير، مؤشرات التسوية |
| شهر واحد | تقرير نهائي | تحليل السبب الجذري، التأثير، إجراءات التخفيف |
تتطلب المادة ٢٠ من هيئات الإدارة الموافقة على التدابير السيبرانية، والخضوع للتدريب، وتحمل المسؤولية الشخصية. بموجب قانون NIS2UmsuCG الألماني، يواجه المسؤولون التنفيذيون غرامات شخصية وإمكانية الإيقاف المؤقت عن أدوار الإدارة. هذه المسؤولية لا يمكن تفويضها بالكامل.
بالإضافة إلى الغرامات، يمكن للسلطات إصدار تعليمات ملزمة، وإصدار أوامر بوقف الأنشطة، وطلب الإفصاح العلني عن عدم الامتثال، وتعليق الشهادات، و— بالنسبة للكيانات الأساسية — حظر مؤقت لوظائف الإدارة للأفراد المسؤولين.
بالنسبة لشركة لديها إيرادات مليار يورو، الغرامة القصوى للكيان الأساسي هي ٢٠ مليون يورو. يجب مراجعة وثائق تأمين المسؤولين والمديرين للتحقق من الفجوات في التغطية — لا يمكن التأمين على المسؤولية الشخصية بالكامل.
| التاريخ | المعلم |
|---|---|
| ٢٧ ديسمبر ٢٠٢٢ | نشر NIS2 في الجريدة الرسمية للاتحاد الأوروبي |
| ١٦ يناير ٢٠٢٣ | دخول NIS2 حيز النفاذ |
| ١٧ أكتوبر ٢٠٢٤ | الموعد النهائي للتنفيذ لجميع الدول الأعضاء |
| ٥ ديسمبر ٢٠٢٥ | ألمانيا: دخول NIS2UmsuCG حيز النفاذ |
| ٦ مارس ٢٠٢٦ | ألمانيا: الموعد النهائي للتسجيل لدى BSI |
| ١٧ أكتوبر ٢٠٢٧ | مراجعة المفوضية الأوروبية لأداء NIS2 |
تسجيل مارس ٢٠٢٦ على بعد أسابيع. حدد فجوات الامتثال قبل التسجيل.
ابدأ فحص NIS2 المجاني ←توفر ISO 27001 أساساً قوياً ولكن NIS2 يضيف متطلبات محددة: جداول زمنية إلزامية للإبلاغ عن الحوادث (٢٤ساعة/٧٢ساعة/شهر)، والمسؤولية الشخصية للإدارة، والتزامات مفصلة لأمن سلسلة التوريد. الشهادة وحدها لا تضمن الامتثال.
يقوم KENSAI بفحص سطح الهجوم الخارجي الخاص بك بشكل مستمر — النطاقات، النطاقات الفرعية، عناوين IP، الخدمات السحابية، واجهات برمجة التطبيقات المكشوفة — ويربط الأصول بنطاق NIS2 الخاص بك. جرد فوري لما تحتاج إلى حمايته.
مع أكثر من ٣٣٢,٠٠٠ CVE، يحدد KENSAI الثغرات الأمنية المعروفة ويربطها بمتطلبات NIS2. يتم تحديد أولويات كل نتيجة حسب درجة CVSS، وملاءمة NIS2، وإلحاح المعالجة بناءً على استخبارات التهديدات.
يقوم الذكاء الاصطناعي بربط وضع الأمان الخاص بك مقابل جميع متطلبات المادة ٢١: نقاط الامتثال، وتقرير الفجوات، والمعالجة ذات الأولوية، وتوثيق الأدلة المناسب للجهات التنظيمية والمدققين.
فحص البنية التحتية الخارجية للموردين لتحديد الخدمات المكشوفة، والثغرات الأمنية، ومشاكل الشهادات، والتكوينات الخاطئة لـ DNS، وتاريخ اختراق البيانات — رؤية سلسلة التوريد التي يطلبها NIS2.
البداية: ٩٩٠ يورو/شهر — للمؤسسات المتوسطة الداخلة في نطاق NIS2. الاحترافي: ١,٤٩٠ يورو/شهر — البنية التحتية المعقدة وسلاسل التوريد. المؤسسات: ٢,٤٩٠ يورو/شهر — أتمتة امتثال كاملة النطاق مع دعم مخصص.
تنظيم الأمن السيبراني المحدث للاتحاد الأوروبي (التوجيه (EU) 2022/2555) الذي يحل محل توجيه NIS الأصلي. وهو ينشئ تدابير إلزامية لإدارة المخاطر، والإبلاغ عن الحوادث، ومتطلبات أمن سلسلة التوريد عبر ١٨ قطاعاً حرجاً.
المؤسسات في ١٨ قطاعاً مخصصاً تستوفي عتبات المؤسسات المتوسطة (٥٠+ موظفاً أو ١٠ ملايين يورو+ إيرادات) أو المؤسسات الكبيرة (٢٥٠+ موظفاً أو ٥٠ مليون يورو+ إيرادات). بعض الكيانات مثل مزودي DNS والاتصالات مشمولة بغض النظر عن الحجم.
الكيانات الأساسية: حتى ١٠ ملايين يورو أو ٢٪ من الإيرادات العالمية. الكيانات المهمة: حتى ٧ ملايين يورو أو ١.٤٪ من الإيرادات العالمية. بالإضافة إلى التعليمات الملزمة، والإفصاح العلني، وتعليق الشهادات، والمسؤولية الشخصية للإدارة.
ثلاث مراحل: إنذار مبكر خلال ٢٤ ساعة، إخطار بالحادث خلال ٧٢ ساعة، تقرير نهائي خلال شهر واحد.
تتطلب المادة ٢٠ من مجالس الإدارة الموافقة على التدابير السيبرانية، والخضوع للتدريب، وتحمل المسؤولية الشخصية. بموجب القانون الألماني، يواجه المسؤولون التنفيذيون غرامات شخصية وإمكانية الإيقاف المؤقت.
عموماً لا (أقل من ٥٠ موظفاً / ١٠ ملايين يورو إيرادات مستبعدة). توجد استثناءات لمزودي خدمات الثقة، وسجلات TLD، ومزودي DNS، والاتصالات.
تداخل كبير، لكن NIS2 يضيف جداول زمنية إلزامية للإبلاغ عن الحوادث، ومسؤولية شخصية للإدارة، ومتطلبات مفصلة لسلسلة التوريد. شهادة ISO 27001 وحدها لا تضمن امتثال NIS2.
يركز NIS2 على أمن الشبكة/النظام؛ واللائحة العامة لحماية البيانات على حماية البيانات الشخصية — كلاهما قد ينطبق على حادث سيبراني. تأخذ DORA الأسبقية للكيانات المالية بموجب مبدأ lex specialis.
هذا الدليل لأغراض إعلامية ولا يشكل مشورة قانونية. استشر متخصصين قانونيين وأمنيين مؤهلين بشأن التزامات NIS2 المحددة الخاصة بك.
شاهد فجوات الامتثال الخاصة بك في دقائق. فحص مدعوم بالذكاء الاصطناعي مع رسم خرائط مدمج لـ NIS2 وDSGVO وDORA.
ابدأ الفحص المجاني ←الأمان ليس اختيارياً.
🗡️ فريق KENSAI
Get a free security scan of your website in 60 seconds
Free Security Scan →