← العودة إلى المدونة
بحث 24 فبراير 2026 18 دقيقة قراءة

الامتثال لتوجيه NIS2: الدليل الشامل للشركات الأوروبية

دخل قانون نقل NIS2 الألماني حيز التنفيذ في 5 ديسمبر 2025. تصل مواعيد تسجيل BSI في مارس 2026. يغطي هذا الدليل كل ما يحتاج مسؤولو أمن المعلومات ومديرو تكنولوجيا المعلومات ومسؤولو الامتثال معرفته: من يجب أن يمتثل، ما هي الالتزامات، كيف تبدو العقوبات، وكيفية بناء خارطة طريق عملية للامتثال.

160K+
كيانات الاتحاد الأوروبي المشمولة
€10M
الحد الأقصى للغرامة
18
القطاعات المغطاة
24h
الإبلاغ عن الحوادث

ما هو توجيه NIS2؟

ℹ️ السياق

توجيه NIS2 (التوجيه (EU) 2022/2555) يحل محل توجيه NIS الأصلي لعام 2016، والذي كان يُعتبر على نطاق واسع غير كافٍ من حيث النطاق والإنفاذ. يوسع النطاق بشكل كبير من حوالي 10,000 كيان في إطار NIS1 إلى ما يُقدر بـ أكثر من 160,000 كيان في جميع أنحاء الاتحاد الأوروبي.

تم تصميم NIS2 لمعالجة ثلاثة نقاط ضعف أساسية: النقل غير المتسق عبر الدول الأعضاء، النطاق المحدود الذي يغطي قطاعات ضيقة فقط، والإنفاذ الضعيف مع عقوبات منخفضة جداً لدفع التغيير.

في ألمانيا، دخل NIS2UmsuCG (قانون تنفيذ NIS2 وتعزيز الأمن السيبراني) حيز التنفيذ في 5 ديسمبر 2025. معهد BSI هو السلطة الإشرافية المعينة، وتبدأ مواعيد التسجيل 6 مارس 2026.


من يجب أن يمتثل لـ NIS2؟

انتقل NIS2 من نهج قائم على التعيين إلى آلية حد الحجم. تكون المؤسسات تلقائياً ضمن النطاق إذا استوفت معايير القطاع والحجم.

الملحق الأول — قطاعات ذات أهمية حرجة عالية (11 قطاعاً)

أمثلةالقطاع
الكهرباء، النفط، الغاز، الهيدروجين، التدفئة المركزيةالطاقة
النقل الجوي والسكك الحديدية والمائي والبريالنقل
مؤسسات الائتمانالخدمات المصرفية
أماكن التداول، الأطراف المقابلة المركزيةالبنية التحتية للسوق المالي
المستشفيات، المختبرات، الأدوية، الأجهزة الطبيةالصحة
الإمداد والتوزيعمياه الشرب
الجمع والتخلص والمعالجةمياه الصرف الصحي
نقاط تبادل الإنترنت، DNS، سجلات TLD، السحابة، مراكز البيانات، CDNالبنية التحتية الرقمية
مقدمو الخدمات المُدارة، مقدمو خدمات الأمن المُدارةإدارة خدمات تكنولوجيا المعلومات والاتصالات (B2B)
كيانات الحكومة المركزيةالإدارة العامة
مشغلو البنية التحتية الأرضيةالفضاء

الملحق الثاني — قطاعات حرجة أخرى (7 قطاعات)

أمثلةالقطاع
مزودو الخدمات البريديةخدمات البريد والبريد السريع
الجمع والنقل والمعالجةإدارة النفايات
الإنتاج والتوزيعالتصنيع الكيميائي
المعالجة والتوزيع (واسع النطاق)إنتاج الغذاء
الأجهزة الطبية، الإلكترونيات، الآلات، المركباتالتصنيع
الأسواق الإلكترونية، محركات البحث، الشبكات الاجتماعيةمقدمو الخدمات الرقمية
منظمات بحثية ذات تأثير كبيرالبحث

عتبات الحجم

⚠️ تغطية مستقلة عن الحجم

كيانات معينة مشمولة بغض النظر عن الحجم: مقدمو خدمات الثقة المؤهلون، سجلات TLD، مقدمو DNS، مقدمو الاتصالات، الإدارة العامة، والمقدمون الوحيدون للخدمات الأساسية.


الكيانات الأساسية مقابل الكيانات المهمة

الكيانات المهمةالكيانات الأساسيةالجانب
تفاعلية (بعدية)استباقية (مسبقة)الإشراف
7 مليون يورو أو 1.4٪ من حجم الأعمال العالمي10 مليون يورو أو 2٪ من حجم الأعمال العالميالحد الأقصى للغرامة
عند وجود أدلة على عدم الامتثالمنتظمة وإلزاميةعمليات التدقيق
متطابقةمتطابقةمتطلبات الأمان

رؤية أساسية

التزامات الأمان متطابقة للطبقتين. الفرق يكمن فقط في كثافة الإشراف وحدود العقوبات.


متطلبات NIS2 الأساسية (المادة 21)

10 التزامات إلزامية

الجدول الزمني للإبلاغ عن الحوادث

الغرضالمطلوبالموعد النهائي
إشارة إلى حدوث حادث كبيرإنذار مبكر إلى CSIRT24 ساعة
الخطورة، التأثير، مؤشرات الاختراقإخطار الحادث مع التقييم72 ساعة
تحليل السبب الجذري، التأثير، تدابير التخفيفالتقرير النهائيشهر واحد

⚠️ المسؤولية الشخصية على مستوى مجلس الإدارة

تتطلب المادة 20 من هيئات الإدارة الموافقة على تدابير الأمن السيبراني، الخضوع للتدريب، وتحمل المسؤولية الشخصية. بموجب قانون NIS2UmsuCG الألماني، يواجه المسؤولون التنفيذيون غرامات شخصية وإيقافاً مؤقتاً محتملاً من الأدوار الإدارية. لا يمكن تفويض هذه المسؤولية بالكامل.


عقوبات وإنفاذ NIS2

€10M
غرامة الكيان الأساسي
2%
من حجم الأعمال العالمي
€7M
غرامة الكيان المهم
1.4%
من حجم الأعمال العالمي

بالإضافة إلى الغرامات، يمكن للسلطات إصدار تعليمات ملزمة، والأمر بوقف الأنشطة، وطلب الإفصاح العلني عن عدم الامتثال، وتعليق الشهادات، و— للكيانات الأساسية — حظر وظائف الإدارة مؤقتاً للأفراد المسؤولين.

⚠️ عقوبات بمستوى GDPR للأمن السيبراني

بالنسبة لشركة بإيرادات مليار يورو، الحد الأقصى لغرامة الكيان الأساسي هو 20 مليون يورو. يجب مراجعة بوليصات تأمين المسؤولية الإدارية والمديرين لفجوات التغطية — لا يمكن التأمين على المسؤولية الشخصية بالكامل.


الجدول الزمني لـ NIS2: التواريخ الحرجة

المعلمالتاريخ
نُشر NIS2 في الجريدة الرسمية للاتحاد الأوروبي27 ديسمبر 2022
دخل NIS2 حيز التنفيذ16 يناير 2023
الموعد النهائي للنقل لجميع الدول الأعضاء17 أكتوبر 2024
ألمانيا: دخل NIS2UmsuCG حيز التنفيذ5 ديسمبر 2025
ألمانيا: الموعد النهائي لتسجيل BSI6 مارس 2026
المفوضية الأوروبية تراجع عمل NIS217 أكتوبر 2027

اقتراب الموعد النهائي لـ BSI

تسجيل مارس 2026 على بعد أسابيع. حدد فجوات الامتثال قبل التسجيل.

ابدأ فحص NIS2 المجاني ←

امتثال NIS2 خطوة بخطوة

خارطة طريق الامتثال من 10 خطوات

ℹ️ ISO 27001 ≠ امتثال NIS2

يوفر ISO 27001 أساساً قوياً ولكن NIS2 يضيف متطلبات محددة: جداول زمنية إلزامية للإبلاغ عن الحوادث (24 ساعة/72 ساعة/شهر واحد)، المسؤولية الشخصية للإدارة، والتزامات مفصلة لأمن سلسلة التوريد. الشهادة وحدها لا تضمن الامتثال.


كيف يُؤتمت KENSAI امتثال NIS2

اكتشاف تلقائي لسطح الهجوم

يقوم KENSAI بفحص سطح الهجوم الخارجي الخاص بك بشكل مستمر — النطاقات، النطاقات الفرعية، عناوين IP، الخدمات السحابية، واجهات برمجة التطبيقات المكشوفة — ويربط الأصول بنطاق NIS2 الخاص بك. جرد في الوقت الفعلي لما تحتاج لحمايته.

ربط الثغرات بناءً على CVE

مع أكثر من 332,000 CVE، يحدد KENSAI الثغرات المعروفة ويربطها بمتطلبات NIS2. يتم تحديد أولوية كل نتيجة حسب درجة CVSS، صلة NIS2، وعجلة المعالجة بناءً على استخبارات التهديدات.

تحليل فجوة امتثال NIS2

يربط الذكاء الاصطناعي وضعك الأمني بجميع متطلبات المادة 21: درجة الامتثال، تقرير الفجوات، المعالجة ذات الأولوية، وتوثيق الأدلة المناسب للجهات التنظيمية والمدققين.

رؤية مخاطر سلسلة التوريد

افحص البنية التحتية الخارجية للموردين لتحديد الخدمات المكشوفة، الثغرات، مشكلات الشهادات، الأخطاء في تكوين DNS، وتاريخ اختراق البيانات — رؤية سلسلة التوريد التي يتطلبها NIS2.

التسعير لامتثال NIS2

المبتدئ: 990 يورو/شهر — الشركات المتوسطة الداخلة في نطاق NIS2. الاحترافي: 1,490 يورو/شهر — البنية التحتية المعقدة وسلاسل التوريد. المؤسسات: 2,490 يورو/شهر — أتمتة الامتثال الكامل النطاق مع دعم مخصص.


الأسئلة الشائعة: امتثال NIS2

ما هو توجيه NIS2؟

تنظيم الأمن السيبراني المحدث للاتحاد الأوروبي (التوجيه (EU) 2022/2555) يحل محل توجيه NIS الأصلي. يضع تدابير إلزامية لإدارة المخاطر، الإبلاغ عن الحوادث، ومتطلبات أمن سلسلة التوريد عبر 18 قطاعاً حرجاً.

من يجب أن يمتثل؟

المؤسسات في 18 قطاعاً محدداً تستوفي عتبات الشركات المتوسطة (50+ موظف أو 10+ مليون يورو إيرادات) أو الشركات الكبيرة (250+ موظف أو 50+ مليون يورو إيرادات). كيانات معينة مثل مقدمي DNS والاتصالات مشمولة بغض النظر عن الحجم.

ما هي العقوبات؟

الكيانات الأساسية: حتى 10 مليون يورو أو 2٪ من حجم الأعمال العالمي. الكيانات المهمة: حتى 7 مليون يورو أو 1.4٪ من حجم الأعمال العالمي. بالإضافة إلى التعليمات الملزمة، الإفصاح العلني، تعليق الشهادات، والمسؤولية الإدارية الشخصية.

ما هي متطلبات الإبلاغ عن الحوادث؟

ثلاث مراحل: إنذار مبكر خلال 24 ساعة، إخطار الحادث خلال 72 ساعة، تقرير نهائي خلال شهر واحد.

كيف يؤثر NIS2 على أعضاء مجلس الإدارة؟

تتطلب المادة 20 من مجالس الإدارة الموافقة على تدابير الأمن السيبراني، الخضوع للتدريب، وتحمل المسؤولية الشخصية. بموجب القانون الألماني، يواجه المسؤولون التنفيذيون غرامات شخصية وإيقافاً مؤقتاً محتملاً.

هل ينطبق NIS2 على الشركات الصغيرة؟

بشكل عام لا (أقل من 50 موظفاً / 10 مليون يورو إيرادات مستثنى). توجد استثناءات لمقدمي خدمات الثقة، سجلات TLD، مقدمي DNS، والاتصالات.

كيف يرتبط NIS2 بـ ISO 27001؟

تداخل كبير، لكن NIS2 يضيف جداول زمنية إلزامية للإبلاغ عن الحوادث، المسؤولية الإدارية الشخصية، ومتطلبات مفصلة لسلسلة التوريد. شهادة ISO 27001 وحدها لا تضمن امتثال NIS2.

كيف يتفاعل NIS2 مع GDPR وDORA؟

يركز NIS2 على أمن الشبكة/النظام؛ GDPR على حماية البيانات الشخصية — كلاهما قد ينطبق على حادث سيبراني. يأخذ DORA الأسبقية للكيانات المالية بموجب مبدأ lex specialis.


هذا الدليل لأغراض إعلامية ولا يشكل مشورة قانونية. استشر محامين مؤهلين ومتخصصين في الأمن السيبراني بشأن التزامات NIS2 المحددة الخاصة بك.

ابدأ رحلة امتثال NIS2 الخاصة بك

اطلع على فجوات الامتثال الخاصة بك في دقائق. فحص بالذكاء الاصطناعي مع ربط NIS2، DSGVO، وDORA مدمج.

ابدأ الفحص المجاني ←

الأمان ليس اختيارياً.

🗡️ فريق KENSAI

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home