← العودة إلى المدونة
بحث ١٢ دقيقة قراءة

توجيه NIS2: الدليل الشامل للشركات الأوروبية

كل ما تحتاج معرفته عن توجيه NIS2: من ينطبق عليه، المتطلبات، الغرامات حتى 10 ملايين يورو، المواعيد النهائية، وكيفية إعداد مؤسستك للامتثال.


يمثل توجيه NIS2 (التوجيه (EU) 2022/2555) أهم إصلاح شامل لتنظيم الأمن السيبراني في الاتحاد الأوروبي خلال عقد. إذا كانت مؤسستك تعمل في أوروبا، فإن هذا التشريع سيغير بشكل جذري طريقة تعاملك مع الأمن السيبراني — وعقوبات عدم الامتثال صارمة.

يغطي هذا الدليل كل ما تحتاج معرفته: ما هو NIS2، من ينطبق عليه، المتطلبات المحددة، المواعيد النهائية، العقوبات، وخارطة طريق واضحة لتحقيق الامتثال.

ما هو توجيه NIS2؟

توجيه NIS2 هو الإطار المحدث للاتحاد الأوروبي لضمان مستوى مشترك عالٍ من الأمن السيبراني عبر جميع الدول الأعضاء. يحل محل توجيه NIS الأصلي (2016/1148)، الذي انتُقد على نطاق واسع بسبب التنفيذ غير المتسق والنطاق الضيق جداً لمشهد التهديدات الحالي.

اعتمده البرلمان الأوروبي في 28 نوفمبر 2022، ويوسع NIS2 بشكل كبير عدد المؤسسات الخاضعة لالتزامات الأمن السيبراني الإلزامية. قدّرت المفوضية الأوروبية أن توجيه NIS الأصلي شمل حوالي 15,000 كيان عبر الاتحاد الأوروبي. بموجب NIS2، يقفز هذا الرقم إلى أكثر من 160,000 مؤسسة — زيادة بعشرة أضعاف.

لماذا كان NIS2 ضرورياً؟

ترك توجيه NIS الأصلي ثغرات كثيرة:

يعالج NIS2 جميع هذه القصور بمتطلبات موحدة ونطاق موسع وآليات إنفاذ ذات أسنان حقيقية.

من ينطبق عليه NIS2؟

يستخدم NIS2 قاعدة حد الحجم مع تصنيف قائم على القطاعات. تُصنف المؤسسات إما كيانات أساسية أو كيانات مهمة.

الكيانات الأساسية (الملحق الأول — "قطاعات شديدة الأهمية")

تُعتبر هذه القطاعات حيوية لعمل المجتمع والاقتصاد:

الكيانات المهمة (الملحق الثاني — "قطاعات حرجة أخرى")

قاعدة حد الحجم

ينطبق NIS2 على المؤسسات في القطاعات المذكورة التي تستوفي واحداً على الأقل من هذه العتبات:

استثناءات مهمة: بعض الكيانات مشمولة بغض النظر عن الحجم، بما في ذلك: مزودو خدمات DNS، سجلات أسماء TLD، مزودو شبكات الاتصالات الإلكترونية العامة، مزودو خدمات الثقة، المزودون الوحيدون لخدمة في دولة عضو تعتبر أساسية للأنشطة المجتمعية/الاقتصادية.

تداعيات سلسلة التوريد

حتى لو لم تقع مؤسستك مباشرة تحت NIS2، فقد تتأثر من خلال متطلبات سلسلة التوريد. يجب على الكيانات الأساسية والمهمة تنفيذ إجراءات إدارة مخاطر الأمن السيبراني لسلاسل التوريد، مما يعني أنها ستدفع متطلبات الامتثال إلى أسفل للموردين والشركاء.

متطلبات NIS2: ما يجب عليك فعله

تحدد المادة 21 من NIS2 عشرة إجراءات دنيا لإدارة مخاطر الأمن السيبراني يجب على جميع الكيانات المشمولة تنفيذها:

1. تحليل المخاطر وسياسات أمن نظم المعلومات

إنشاء سياسات شاملة لتحليل المخاطر وأمن نظم المعلومات. يشمل ذلك تقييمات المخاطر المنتظمة وسياسات الأمان الموثقة وإطار حوكمة للأمن السيبراني.

2. التعامل مع الحوادث

تنفيذ إجراءات لمنع حوادث الأمن السيبراني واكتشافها والاستجابة لها. يشمل ذلك: خطط الاستجابة للحوادث، قدرات اكتشاف الحوادث، إجراءات التواصل أثناء الحوادث.

3. استمرارية الأعمال وإدارة الأزمات

ضمان المرونة التشغيلية من خلال: إدارة النسخ الاحتياطي، خطط التعافي من الكوارث، إجراءات إدارة الأزمات، الاختبار المنتظم لخطط الاستمرارية.

4. أمن سلسلة التوريد

معالجة المخاطر الأمنية في العلاقات مع الموردين المباشرين ومقدمي الخدمات. إجراء العناية الواجبة بشأن ممارسات الأمن السيبراني للموردين وإدراج متطلبات الأمان في العقود.

5. الأمان في أنظمة الشبكات والمعلومات

تنفيذ إجراءات أمنية تغطي اقتناء وتطوير وصيانة أنظمة الشبكات والمعلومات، بما في ذلك معالجة الثغرات والكشف عنها.

6. تقييم إدارة مخاطر الأمن السيبراني

إنشاء سياسات وإجراءات لتقييم فعالية إجراءات إدارة مخاطر الأمن السيبراني. مطلوب إجراء تدقيقات وتقييمات منتظمة.

7. ممارسات النظافة السيبرانية الأساسية والتدريب

تنفيذ ممارسات النظافة السيبرانية وتوفير تدريب منتظم على التوعية بالأمن السيبراني لجميع الموظفين، بما في ذلك الإدارة.

8. التشفير

إنشاء سياسات وإجراءات تتعلق باستخدام التشفير وعند الاقتضاء التشفير لحماية البيانات أثناء النقل وفي حالة السكون.

9. أمن الموارد البشرية والتحكم في الوصول

تنفيذ سياسات التحكم في الوصول المناسبة وإجراءات إدارة الأصول وحلول المصادقة متعددة العوامل أو المصادقة المستمرة.

10. الاتصالات الآمنة

استخدام اتصالات صوتية ومرئية ونصية آمنة وأنظمة اتصالات طوارئ آمنة داخل المؤسسة.

متطلبات الإبلاغ عن الحوادث

يقدم NIS2 التزام إبلاغ عن الحوادث على مراحل متعددة أكثر تطلباً بكثير من سابقه:

المرحلة الموعد النهائي المتطلب
إنذار مبكر خلال 24 ساعة إخطار فريق CSIRT أو السلطة المختصة بحادث كبير
إخطار بالحادث خلال 72 ساعة تقديم تقييم أولي يشمل الخطورة والتأثير ومؤشرات الاختراق
تقرير مرحلي عند الطلب تحديث الحالة بشأن الحادث وإجراءات الاستجابة
تقرير نهائي خلال شهر واحد وصف تفصيلي، السبب الجذري، إجراءات التخفيف، والتأثير العابر للحدود

يُعرّف الحادث الكبير بأنه الحادث الذي: تسبب أو يمكن أن يتسبب في اضطراب تشغيلي حاد أو خسارة مالية، أو أثّر أو يمكن أن يؤثر على أشخاص آخرين مسبباً ضرراً مادياً أو معنوياً كبيراً.

العقوبات والإنفاذ

تمثل أحكام إنفاذ NIS2 تغييراً جوهرياً عن التوجيه الأصلي:

للكيانات الأساسية:

للكيانات المهمة:

مساءلة الإدارة

أحد أكثر أحكام NIS2 تأثيراً هو المادة 20، التي تتطلب: أن توافق هيئات الإدارة على إجراءات إدارة مخاطر الأمن السيبراني، وأن تشرف على تنفيذ هذه الإجراءات، وأن يخضع أعضاء هيئات الإدارة لتدريب في الأمن السيبراني، ويمكن تحميل الإدارة مسؤولية شخصية عن المخالفات.

هذا يعني أن الأمن السيبراني لم يعد شيئاً يمكن تفويضه بالكامل لقسم تكنولوجيا المعلومات. يتحمل أعضاء مجلس الإدارة والمسؤولون التنفيذيون مسؤولية مباشرة.

الجدول الزمني لنقل NIS2

دخل التوجيه حيز التنفيذ في 16 يناير 2023، وكان على الدول الأعضاء نقله إلى القانون الوطني بحلول 17 أكتوبر 2024.

حالة النقل عبر الأسواق الرئيسية

ألمانيا — تأخر NIS2-Umsetzungsgesetz (NIS2UmsuCG) لكن من المتوقع دخوله حيز التنفيذ في 2025. سيؤثر على ما يقدر بـ 29,000 مؤسسة في ألمانيا وحدها — ارتفاعاً من حوالي 2,000 بموجب تنظيم KRITIS الأصلي. يتجاوز التنفيذ الألماني الحد الأدنى من متطلبات التوجيه في عدة مجالات.

النمساNISG 2024 (Netz- und Informationssystemsicherheitsgesetz) في مراحل متقدمة. من المتوقع أن تشمل النمسا حوالي 4,000 مؤسسة.

سويسرا — رغم أنها ليست عضواً في الاتحاد الأوروبي، تُوائم سويسرا إطار الأمن السيبراني مع مبادئ NIS2. يتضمن Informationssicherheitsgesetz (ISG) المنقح متطلبات مماثلة، ويجب على الشركات السويسرية التي تمارس أعمالها في الاتحاد الأوروبي الامتثال لـ NIS2 مباشرة.

فرنسا — نقلت فرنسا التوجيه في الموعد إلى حد كبير، بالبناء على إطار ANSSI القوي بالفعل.

هولندا — يجري الانتهاء من Wet beveiliging netwerk- en informatiesystemen 2 (Wbni 2)، ليوسع التغطية إلى حوالي 10,000 مؤسسة هولندية.

كيف تستعد لامتثال NIS2

الخطوة 1: حدد ما إذا كنت ضمن النطاق

استخدم قوائم القطاعات وعتبات حد الحجم أعلاه لتقييم ما إذا كانت مؤسستك مؤهلة ككيان أساسي أو مهم. لا تنسَ النظر في التزامات سلسلة التوريد — حتى لو لم تكن ضمن النطاق مباشرة، قد يطلب عملاؤك ممارسات أمنية متوافقة مع NIS2.

الخطوة 2: أجرِ تحليل فجوات

قارن وضعك الأمني السيبراني الحالي بالإجراءات العشرة الدنيا في المادة 21. حدد الفجوات في: عمليات إدارة المخاطر، قدرات اكتشاف الحوادث والاستجابة، تخطيط استمرارية الأعمال، ممارسات أمن سلسلة التوريد، تدريب الموظفين والتوعية.

الخطوة 3: قيّم سطح الهجوم

لا يمكنك حماية ما لا تعرف عنه. أجرِ تقييماً شاملاً لسطح الهجوم الخارجي، بما في ذلك: تطبيقات الويب وواجهات API، الخدمات السحابية والبنية التحتية، التكاملات مع أطراف ثالثة، الأنظمة القديمة المعرضة للإنترنت.

يوفر KENSAI فحصاً آلياً مدعوماً بالذكاء الاصطناعي لسطح الهجوم يرسم خريطة بصمتك الخارجية بالكامل ويحدد الثغرات قبل المهاجمين. على عكس التقييمات التقليدية في وقت محدد، يقدم KENSAI فحصاً مستمراً يتوافق مع متطلب NIS2 لإدارة المخاطر المستمرة.

الخطوة 4: طبّق الضوابط التقنية

بناءً على تحليل الفجوات، انشر الضوابط التقنية اللازمة: تجزئة الشبكة والمراقبة، اكتشاف نقاط النهاية والاستجابة (EDR)، المصادقة متعددة العوامل، التشفير للبيانات أثناء النقل وفي حالة السكون، إدارة الثغرات مع الفحص المنتظم، جدران حماية تطبيقات الويب وأمان API.

الخطوة 5: أنشئ الحوكمة والتوثيق

يتطلب NIS2 سياسات وإجراءات موثقة. كحد أدنى تحتاج: سياسة أمن المعلومات، منهجية وتقارير تقييم المخاطر، خطة الاستجابة للحوادث، خطط استمرارية الأعمال والتعافي من الكوارث، سياسة أمن سلسلة التوريد، سجلات التدريب.

الخطوة 6: جهّز قدرات الاستجابة للحوادث

يعني متطلب الإنذار المبكر خلال 24 ساعة أنك تحتاج: قدرات مراقبة على مدار الساعة (أو خدمات SOC مستعانة بمصادر خارجية)، معايير تصنيف حوادث محددة مسبقاً، نماذج اتصال لإخطار CSIRT، فريق استجابة للحوادث معين بأدوار واضحة.

الخطوة 7: درّب أفرادك

يفرض NIS2 تدريب الأمن السيبراني على هيئات الإدارة والموظفين. طبّق: تدريب التوعية الأمنية المنتظم لجميع الموظفين، تدريب محدد للإدارة على مسؤوليات الإشراف، تدريب تقني لموظفي تكنولوجيا المعلومات والأمن، محاكاة التصيد والتمارين الأمنية.

الخطوة 8: أشرك سلسلة التوريد

راجع علاقاتك مع الموردين: قيّم الوضع الأمني السيبراني للموردين الحرجين، أدرج متطلبات الأمان في معايير المشتريات والعقود، أنشئ آليات تبادل المعلومات مع الموردين الرئيسيين، راقب أمان الموردين بشكل مستمر.

NIS2 والاختبار الأمني الآلي

إحدى أكثر الطرق فعالية لتلبية متطلبات إدارة المخاطر المستمرة في NIS2 هي الاختبار الأمني الآلي. يتطلب التوجيه صراحة معالجة الثغرات والتقييم المنتظم لإجراءات الأمن السيبراني — اختبارات الاختراق اليدوية السنوية لم تعد كافية.

تمكّن منصة فحص الثغرات الآلية من KENSAI المؤسسات من:

للمؤسسات التي تستعد لـ NIS2، الفحص الآلي ليس اختيارياً — إنه ضروري لإثبات الإجراءات التقنية "المناسبة والمتناسبة" التي يتطلبها التوجيه.

أسئلة شائعة

هل ينطبق NIS2 على الشركات غير الأوروبية؟

نعم. إذا كانت مؤسستك تقدم خدمات داخل الاتحاد الأوروبي أو لكيانات مقرها الاتحاد الأوروبي في قطاعات مشمولة، ينطبق NIS2. يجب على الشركات غير الأوروبية تعيين ممثل في الاتحاد الأوروبي.

ما العلاقة بين NIS2 و GDPR؟

NIS2 و GDPR متكاملان. يركز GDPR على حماية البيانات الشخصية؛ يركز NIS2 على الأمن السيبراني لأنظمة الشبكات والمعلومات. يمكن أن يؤدي اختراق البيانات إلى تفعيل التزامات بموجب كلا اللائحتين. حتى أن NIS2 ينص على مراعاة غرامات GDPR عند تقييم عقوبات NIS2.

هل يمكننا استخدام شهادة ISO 27001 القائمة لامتثال NIS2؟

توفر ISO 27001 أساساً قوياً، لكنها لا تعني تلقائياً امتثال NIS2. لدى NIS2 متطلبات محددة (مثل الإبلاغ عن الحوادث خلال 24 ساعة) تتجاوز ISO 27001. ومع ذلك، ستجد المؤسسات الحاصلة على شهادة ISO 27001 أن الانتقال أسهل بكثير.

ماذا لو لم تنقل دولتنا العضو NIS2 بعد؟

حتى لو تأخر النقل الوطني، فإن متطلبات التوجيه واضحة. يجب على المؤسسات البدء بالتحضير الآن. بمجرد دخول القانون الوطني حيز التنفيذ، يمكن أن يبدأ الإنفاذ فوراً — قد لا تكون هناك فترة سماح.

كيف يتفاعل NIS2 مع اللوائح القطاعية؟

يتضمن NIS2 حكم lex specialis: حيث يفرض التشريع القطاعي للاتحاد الأوروبي متطلبات أمن سيبراني معادلة على الأقل لـ NIS2، تسود القواعد القطاعية. الأمثلة تشمل DORA للقطاع المالي.

الخلاصة

ليس NIS2 تهديداً تنظيمياً بعيداً — إنه هنا، والإنفاذ يتصاعد عبر أوروبا. المؤسسات التي تؤخر التحضير تخاطر ليس فقط بالغرامات التنظيمية ولكن أيضاً بالأضرار السمعية والتشغيلية الناجمة عن الأمن السيبراني غير الكافي.

متطلبات التوجيه شاملة لكنها قابلة للتحقيق، خاصة مع الأدوات والنهج الصحيحين. ابدأ بفهم نطاقك، وقيّم فجواتك، وطبّق إجراءات أمنية منهجية ومستمرة.


ابدأ رحلة امتثال NIS2 اليوم

لا تنتظر حتى تبدأ إجراءات الإنفاذ. تساعدك منصة KENSAI الأمنية المدعومة بالذكاء الاصطناعي في تحديد الثغرات وتقييم سطح الهجوم وإثبات المراقبة الأمنية المستمرة التي يتطلبها NIS2.

👈 احصل على فحصك الأمني المجاني على kensai.app/free-scan — اطلع على تعرضك في دقائق، وليس أشهر.

جرب KENSAI مجاناً

افحص بنيتك التحتية بحثاً عن الثغرات في دقائق — لا حاجة لبطاقة ائتمان.

← ابدأ الفحص المجاني

نُشر بواسطة KENSAI Security Research — منصة أمن سيبراني مدعومة بالذكاء الاصطناعي

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home