← العودة إلى المدونة
بحث ٢٤ فبراير ٢٠٢٦ ١٨ دقيقة قراءة

الامتثال لتوجيه NIS2: الدليل الكامل للشركات الأوروبية

دخل قانون تنفيذ NIS2 الألماني حيز النفاذ في ٥ ديسمبر ٢٠٢٥. وتبدأ مواعيد التسجيل لدى BSI في مارس ٢٠٢٦. يغطي هذا الدليل كل ما يحتاج مسؤولو أمن المعلومات ومديرو تقنية المعلومات وموظفو الامتثال معرفته: من يجب أن يمتثل، ما هي الالتزامات، شكل العقوبات، وكيفية بناء خارطة طريق عملية للامتثال.

+١٦٠ ألف
كيان في نطاق التطبيق بالاتحاد الأوروبي
١٠ مليون يورو
أقصى غرامة
١٨
قطاعاً مشمولاً
٢٤ ساعة
للإبلاغ عن الحوادث

ما هو توجيه NIS2؟

ℹ️ السياق

يحل توجيه NIS2 (التوجيه (EU) 2022/2555) محل توجيه NIS الأصلي لعام ٢٠١٦، الذي اعتُبر على نطاق واسع غير كافٍ من حيث النطاق والإنفاذ. وهو يوسع التغطية بشكل كبير من حوالي ١٠,٠٠٠ كيان في إطار NIS1 إلى ما يقدر بـ أكثر من ١٦٠,٠٠٠ كيان في جميع أنحاء الاتحاد الأوروبي.

صُمم NIS2 لمعالجة ثلاثة نقاط ضعف أساسية: التنفيذ غير المتسق عبر الدول الأعضاء، والنطاق المحدود الذي يغطي قطاعات ضيقة فقط، والإنفاذ الضعيف مع عقوبات منخفضة جداً لدفع التغيير.

في ألمانيا، دخل قانون NIS2UmsuCG (قانون تنفيذ NIS2 وتعزيز الأمن السيبراني) حيز النفاذ في ٥ ديسمبر ٢٠٢٥. ويعد المكتب الاتحادي لأمن المعلومات (BSI) هو السلطة الإشرافية المعينة، وتبدأ مواعيد التسجيل في ٦ مارس ٢٠٢٦.


من يجب أن يمتثل لـ NIS2؟

انتقل NIS2 من نهج قائم على التعيين إلى آلية حد الحجم. تندرج المؤسسات تلقائياً في النطاق إذا استوفت معايير القطاع والحجم.

الملحق الأول — قطاعات ذات أهمية حرجة عالية (١١ قطاعاً)

القطاعأمثلة
الطاقةالكهرباء، النفط، الغاز، الهيدروجين، التدفئة المركزية
النقلالنقل الجوي، السكك الحديدية، المائي، البري
الخدمات المصرفيةالمؤسسات الائتمانية
البنية التحتية للسوق الماليةأماكن التداول، الأطراف المقابلة المركزية
الصحةالمستشفيات، المختبرات، الأدوية، الأجهزة الطبية
مياه الشربالتوريد والتوزيع
مياه الصرف الصحيالجمع والتخلص والمعالجة
البنية التحتية الرقميةنقاط تبادل الإنترنت، DNS، سجلات TLD، السحابة، مراكز البيانات، CDN
إدارة خدمات تكنولوجيا المعلومات (B2B)مزودو الخدمات المُدارة، مزودو خدمات الأمن المُدارة
الإدارة العامةكيانات الحكومة المركزية
الفضاءمشغلو البنية التحتية الأرضية

الملحق الثاني — قطاعات حرجة أخرى (٧ قطاعات)

القطاعأمثلة
خدمات البريد والبريد السريعمزودو الخدمات البريدية
إدارة النفاياتالجمع والنقل والمعالجة
التصنيع الكيميائيالإنتاج والتوزيع
إنتاج الأغذيةالمعالجة والتوزيع (واسع النطاق)
التصنيعالأجهزة الطبية، الإلكترونيات، الآلات، المركبات
مزودو الخدمات الرقميةالأسواق الإلكترونية، محركات البحث، الشبكات الاجتماعية
البحثمنظمات البحث ذات التأثير الكبير

عتبات الحجم

⚠️ تغطية مستقلة عن الحجم

بعض الكيانات تندرج في النطاق بغض النظر عن الحجم: مزودو خدمات الثقة المؤهلون، سجلات TLD، مزودو DNS، مزودو الاتصالات، الإدارة العامة، ومقدمو الخدمات الأساسية الوحيدون.


الكيانات الأساسية مقابل الكيانات المهمة

الجانبالكيانات الأساسيةالكيانات المهمة
الإشرافاستباقي (مسبق)تفاعلي (لاحق)
أقصى غرامة١٠ ملايين يورو أو ٢٪ من الإيرادات العالمية٧ ملايين يورو أو ١.٤٪ من الإيرادات العالمية
عمليات التدقيقمنتظمة وإلزاميةعند وجود دليل على عدم الامتثال
متطلبات الأمانمتطابقةمتطابقة

رؤية رئيسية

التزامات الأمان متطابقة لكلا المستويين. الاختلاف يكمن فقط في كثافة الإشراف وحدود العقوبات.


متطلبات NIS2 الرئيسية (المادة ٢١)

١٠ التزامات إلزامية

الجدول الزمني للإبلاغ عن الحوادث

الموعد النهائيالمتطلبالغرض
٢٤ ساعةإنذار مبكر إلى CSIRTالإشارة إلى وقوع حادث كبير
٧٢ ساعةإخطار بالحادث مع التقييمالخطورة، التأثير، مؤشرات التسوية
شهر واحدتقرير نهائيتحليل السبب الجذري، التأثير، إجراءات التخفيف

⚠️ المسؤولية الشخصية على مستوى مجلس الإدارة

تتطلب المادة ٢٠ من هيئات الإدارة الموافقة على التدابير السيبرانية، والخضوع للتدريب، وتحمل المسؤولية الشخصية. بموجب قانون NIS2UmsuCG الألماني، يواجه المسؤولون التنفيذيون غرامات شخصية وإمكانية الإيقاف المؤقت عن أدوار الإدارة. هذه المسؤولية لا يمكن تفويضها بالكامل.


عقوبات NIS2 والإنفاذ

١٠ مليون يورو
غرامة الكيان الأساسي
٢٪
من الإيرادات العالمية
٧ مليون يورو
غرامة الكيان المهم
١.٤٪
من الإيرادات العالمية

بالإضافة إلى الغرامات، يمكن للسلطات إصدار تعليمات ملزمة، وإصدار أوامر بوقف الأنشطة، وطلب الإفصاح العلني عن عدم الامتثال، وتعليق الشهادات، و— بالنسبة للكيانات الأساسية — حظر مؤقت لوظائف الإدارة للأفراد المسؤولين.

⚠️ عقوبات بمستوى اللائحة العامة لحماية البيانات للأمن السيبراني

بالنسبة لشركة لديها إيرادات مليار يورو، الغرامة القصوى للكيان الأساسي هي ٢٠ مليون يورو. يجب مراجعة وثائق تأمين المسؤولين والمديرين للتحقق من الفجوات في التغطية — لا يمكن التأمين على المسؤولية الشخصية بالكامل.


الجدول الزمني لـ NIS2: التواريخ الحرجة

التاريخالمعلم
٢٧ ديسمبر ٢٠٢٢نشر NIS2 في الجريدة الرسمية للاتحاد الأوروبي
١٦ يناير ٢٠٢٣دخول NIS2 حيز النفاذ
١٧ أكتوبر ٢٠٢٤الموعد النهائي للتنفيذ لجميع الدول الأعضاء
٥ ديسمبر ٢٠٢٥ألمانيا: دخول NIS2UmsuCG حيز النفاذ
٦ مارس ٢٠٢٦ألمانيا: الموعد النهائي للتسجيل لدى BSI
١٧ أكتوبر ٢٠٢٧مراجعة المفوضية الأوروبية لأداء NIS2

الموعد النهائي لـ BSI يقترب

تسجيل مارس ٢٠٢٦ على بعد أسابيع. حدد فجوات الامتثال قبل التسجيل.

ابدأ فحص NIS2 المجاني ←

الامتثال لـ NIS2 خطوة بخطوة

خارطة طريق الامتثال من ١٠ خطوات

ℹ️ ISO 27001 ≠ امتثال NIS2

توفر ISO 27001 أساساً قوياً ولكن NIS2 يضيف متطلبات محددة: جداول زمنية إلزامية للإبلاغ عن الحوادث (٢٤ساعة/٧٢ساعة/شهر)، والمسؤولية الشخصية للإدارة، والتزامات مفصلة لأمن سلسلة التوريد. الشهادة وحدها لا تضمن الامتثال.


كيف يقوم KENSAI بأتمتة امتثال NIS2

اكتشاف آلي لسطح الهجوم

يقوم KENSAI بفحص سطح الهجوم الخارجي الخاص بك بشكل مستمر — النطاقات، النطاقات الفرعية، عناوين IP، الخدمات السحابية، واجهات برمجة التطبيقات المكشوفة — ويربط الأصول بنطاق NIS2 الخاص بك. جرد فوري لما تحتاج إلى حمايته.

رسم خرائط الثغرات الأمنية القائم على CVE

مع أكثر من ٣٣٢,٠٠٠ CVE، يحدد KENSAI الثغرات الأمنية المعروفة ويربطها بمتطلبات NIS2. يتم تحديد أولويات كل نتيجة حسب درجة CVSS، وملاءمة NIS2، وإلحاح المعالجة بناءً على استخبارات التهديدات.

تحليل فجوات امتثال NIS2

يقوم الذكاء الاصطناعي بربط وضع الأمان الخاص بك مقابل جميع متطلبات المادة ٢١: نقاط الامتثال، وتقرير الفجوات، والمعالجة ذات الأولوية، وتوثيق الأدلة المناسب للجهات التنظيمية والمدققين.

رؤية مخاطر سلسلة التوريد

فحص البنية التحتية الخارجية للموردين لتحديد الخدمات المكشوفة، والثغرات الأمنية، ومشاكل الشهادات، والتكوينات الخاطئة لـ DNS، وتاريخ اختراق البيانات — رؤية سلسلة التوريد التي يطلبها NIS2.

التسعير لامتثال NIS2

البداية: ٩٩٠ يورو/شهر — للمؤسسات المتوسطة الداخلة في نطاق NIS2. الاحترافي: ١,٤٩٠ يورو/شهر — البنية التحتية المعقدة وسلاسل التوريد. المؤسسات: ٢,٤٩٠ يورو/شهر — أتمتة امتثال كاملة النطاق مع دعم مخصص.


الأسئلة الشائعة: امتثال NIS2

ما هو توجيه NIS2؟

تنظيم الأمن السيبراني المحدث للاتحاد الأوروبي (التوجيه (EU) 2022/2555) الذي يحل محل توجيه NIS الأصلي. وهو ينشئ تدابير إلزامية لإدارة المخاطر، والإبلاغ عن الحوادث، ومتطلبات أمن سلسلة التوريد عبر ١٨ قطاعاً حرجاً.

من يجب أن يمتثل؟

المؤسسات في ١٨ قطاعاً مخصصاً تستوفي عتبات المؤسسات المتوسطة (٥٠+ موظفاً أو ١٠ ملايين يورو+ إيرادات) أو المؤسسات الكبيرة (٢٥٠+ موظفاً أو ٥٠ مليون يورو+ إيرادات). بعض الكيانات مثل مزودي DNS والاتصالات مشمولة بغض النظر عن الحجم.

ما هي العقوبات؟

الكيانات الأساسية: حتى ١٠ ملايين يورو أو ٢٪ من الإيرادات العالمية. الكيانات المهمة: حتى ٧ ملايين يورو أو ١.٤٪ من الإيرادات العالمية. بالإضافة إلى التعليمات الملزمة، والإفصاح العلني، وتعليق الشهادات، والمسؤولية الشخصية للإدارة.

ما هي متطلبات الإبلاغ عن الحوادث؟

ثلاث مراحل: إنذار مبكر خلال ٢٤ ساعة، إخطار بالحادث خلال ٧٢ ساعة، تقرير نهائي خلال شهر واحد.

كيف يؤثر NIS2 على أعضاء مجلس الإدارة؟

تتطلب المادة ٢٠ من مجالس الإدارة الموافقة على التدابير السيبرانية، والخضوع للتدريب، وتحمل المسؤولية الشخصية. بموجب القانون الألماني، يواجه المسؤولون التنفيذيون غرامات شخصية وإمكانية الإيقاف المؤقت.

هل ينطبق NIS2 على الشركات الصغيرة؟

عموماً لا (أقل من ٥٠ موظفاً / ١٠ ملايين يورو إيرادات مستبعدة). توجد استثناءات لمزودي خدمات الثقة، وسجلات TLD، ومزودي DNS، والاتصالات.

كيف يرتبط NIS2 بـ ISO 27001؟

تداخل كبير، لكن NIS2 يضيف جداول زمنية إلزامية للإبلاغ عن الحوادث، ومسؤولية شخصية للإدارة، ومتطلبات مفصلة لسلسلة التوريد. شهادة ISO 27001 وحدها لا تضمن امتثال NIS2.

كيف يتفاعل NIS2 مع اللائحة العامة لحماية البيانات و DORA؟

يركز NIS2 على أمن الشبكة/النظام؛ واللائحة العامة لحماية البيانات على حماية البيانات الشخصية — كلاهما قد ينطبق على حادث سيبراني. تأخذ DORA الأسبقية للكيانات المالية بموجب مبدأ lex specialis.


هذا الدليل لأغراض إعلامية ولا يشكل مشورة قانونية. استشر متخصصين قانونيين وأمنيين مؤهلين بشأن التزامات NIS2 المحددة الخاصة بك.

ابدأ رحلة امتثال NIS2 الخاصة بك

شاهد فجوات الامتثال الخاصة بك في دقائق. فحص مدعوم بالذكاء الاصطناعي مع رسم خرائط مدمج لـ NIS2 وDSGVO وDORA.

ابدأ الفحص المجاني ←

الأمان ليس اختيارياً.

🗡️ فريق KENSAI

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home