← العودة إلى المدونة
أبحاث 12 دقيقة قراءة

توجيه NIS2: الدليل الكامل للشركات الأوروبية

كل ما تحتاج معرفته عن توجيه NIS2: من ينطبق عليه، المتطلبات، غرامات تصل إلى 10 ملايين يورو، المواعيد النهائية، وكيفية إعداد مؤسستك للامتثال.


توجيه NIS2: الدليل الكامل للشركات الأوروبية

يمثل توجيه NIS2 (التوجيه (EU) 2022/2555) أهم إصلاح شامل لتنظيم الأمن السيبراني في الاتحاد الأوروبي منذ عقد من الزمن. إذا كانت مؤسستك تعمل في أوروبا، فإن هذا التشريع سيغير بشكل أساسي كيفية تعاملك مع الأمن السيبراني — والعقوبات على عدم الامتثال شديدة.

يغطي هذا الدليل كل ما تحتاج معرفته: ما هو NIS2، من ينطبق عليه، المتطلبات المحددة، المواعيد النهائية، العقوبات، وخارطة طريق واضحة لتحقيق الامتثال.

ما هو توجيه NIS2؟

توجيه NIS2 هو الإطار المحدث للاتحاد الأوروبي لضمان مستوى مشترك عالٍ من الأمن السيبراني عبر جميع الدول الأعضاء. إنه يحل محل توجيه NIS الأصلي (2016/1148)، والذي انتُقد على نطاق واسع بسبب التنفيذ غير المتسق ونطاق ضيق جداً للمشهد الحالي للتهديدات.

اعتُمد من قبل البرلمان الأوروبي في 28 نوفمبر 2022، ويوسع NIS2 بشكل كبير عدد المؤسسات التي تندرج تحت التزامات الأمن السيبراني الإلزامية. قدّرت المفوضية الأوروبية أن توجيه NIS الأصلي غطى ما يقرب من 15,000 كيان عبر الاتحاد الأوروبي. بموجب NIS2، يقفز هذا العدد إلى أكثر من 160,000 مؤسسة — زيادة بعشرة أضعاف.

لماذا كان NIS2 ضرورياً؟

ترك توجيه NIS الأصلي الكثير من الفجوات:

يعالج NIS2 كل هذه النقائص بمتطلبات متناسقة، ونطاق موسع، وآليات تنفيذ ذات أسنان حقيقية.

من ينطبق عليه NIS2؟

يستخدم NIS2 قاعدة حد الحجم مع التصنيف القائم على القطاع. تُصنف المؤسسات إما كـ كيانات أساسية أو كيانات مهمة.

الكيانات الأساسية (الملحق الأول — "القطاعات عالية الأهمية")

تُعتبر هذه القطاعات حيوية لأداء المجتمع والاقتصاد:

الكيانات المهمة (الملحق الثاني — "القطاعات الحرجة الأخرى")

قاعدة حد الحجم

ينطبق NIS2 على المؤسسات في القطاعات المذكورة أعلاه التي تستوفي واحداً على الأقل من هذه العتبات:

استثناءات مهمة: بعض الكيانات مشمولة بغض النظر عن الحجم، بما في ذلك:

آثار سلسلة التوريد

حتى لو لم تندرج مؤسستك مباشرة تحت NIS2، فقد تتأثر من خلال متطلبات سلسلة التوريد. يجب على الكيانات الأساسية والمهمة تنفيذ تدابير إدارة مخاطر الأمن السيبراني لسلاسل التوريد الخاصة بها، مما يعني أنها ستدفع متطلبات الامتثال إلى الموردين والشركاء.

متطلبات NIS2: ما يجب عليك فعله

تحدد المادة 21 من NIS2 عشرة تدابير دنيا لإدارة مخاطر الأمن السيبراني يجب على جميع الكيانات المشمولة تنفيذها:

1. تحليل المخاطر وسياسات أمن نظام المعلومات

إنشاء سياسات شاملة لتحليل المخاطر وأمن نظام المعلومات. يتضمن ذلك تقييمات منتظمة للمخاطر، وسياسات أمنية موثقة، وإطار حوكمة للأمن السيبراني.

2. معالجة الحوادث

تنفيذ إجراءات لمنع واكتشاف والاستجابة لحوادث الأمن السيبراني. يتضمن ذلك:

3. استمرارية الأعمال وإدارة الأزمات

ضمان المرونة التشغيلية من خلال:

4. أمن سلسلة التوريد

معالجة مخاطر الأمن في العلاقات مع الموردين المباشرين ومقدمي الخدمات. إجراء العناية الواجبة على ممارسات الأمن السيبراني للموردين وتضمين متطلبات الأمان في العقود.

5. الأمن في الشبكات وأنظمة المعلومات

تنفيذ تدابير أمنية تغطي اقتناء وتطوير وصيانة الشبكات وأنظمة المعلومات، بما في ذلك معالجة الثغرات والإفصاح عنها.

6. تقييم إدارة مخاطر الأمن السيبراني

إنشاء سياسات وإجراءات لتقييم فعالية تدابير إدارة مخاطر الأمن السيبراني. عمليات تدقيق وتقييمات منتظمة مطلوبة.

7. ممارسات النظافة السيبرانية الأساسية والتدريب

تنفيذ ممارسات النظافة السيبرانية وتوفير تدريب منتظم على التوعية بالأمن السيبراني لجميع الموظفين، بما في ذلك الإدارة.

8. التشفير والترميز

إنشاء سياسات وإجراءات بشأن استخدام التشفير، وحيثما كان ذلك مناسباً، الترميز لحماية البيانات أثناء النقل والراحة.

9. أمن الموارد البشرية والتحكم في الوصول

تنفيذ سياسات التحكم في الوصول المناسبة، وإجراءات إدارة الأصول، والمصادقة متعددة العوامل أو حلول المصادقة المستمرة.

10. الاتصالات الآمنة

استخدام اتصالات صوتية وفيديو ونصية آمنة، وأنظمة اتصالات طوارئ آمنة داخل المؤسسة.

متطلبات الإبلاغ عن الحوادث

يقدم NIS2 التزام إبلاغ عن الحوادث متعدد المراحل وهو أكثر تطلباً بكثير من سابقه:

المرحلة الموعد النهائي المتطلب
إنذار مبكر خلال 24 ساعة إخطار CSIRT أو السلطة المختصة بحادث كبير
إخطار بالحادث خلال 72 ساعة تقديم تقييم أولي بما في ذلك الخطورة والتأثير ومؤشرات الاختراق
تقرير متوسط عند الطلب تحديث الحالة حول الحادث وتدابير الاستجابة
التقرير النهائي خلال شهر واحد وصف تفصيلي، السبب الجذري، تدابير التخفيف، والتأثير عبر الحدود

يُعرَّف الحادث الكبير بأنه حادث:

العقوبات والتنفيذ

تمثل أحكام التنفيذ الخاصة بـ NIS2 تغييراً كبيراً عن التوجيه الأصلي:

للكيانات الأساسية:

للكيانات المهمة:

مساءلة الإدارة

أحد أكثر الأحكام عواقب في NIS2 هو المادة 20، والتي تتطلب:

هذا يعني أن الأمن السيبراني لم يعد شيئاً يمكن تفويضه بالكامل إلى قسم تقنية المعلومات. يتحمل أعضاء مجلس الإدارة والمديرون التنفيذيون مسؤولية مباشرة.

الجدول الزمني لتنفيذ NIS2

دخل التوجيه حيز التنفيذ في 16 يناير 2023، وكان على الدول الأعضاء تنفيذه في القانون الوطني بحلول 17 أكتوبر 2024.

حالة التنفيذ عبر الأسواق الرئيسية

ألمانيا — تأخر NIS2-Umsetzungsgesetz (NIS2UmsuCG) لكن من المتوقع أن يدخل حيز التنفيذ في 2025. سيؤثر على ما يُقدر بـ 29,000 مؤسسة في ألمانيا وحدها — ارتفاعاً من حوالي 2,000 بموجب لائحة KRITIS الأصلية. يتجاوز التنفيذ الألماني الحد الأدنى من متطلبات التوجيه في عدة مجالات.

النمساNISG 2024 (قانون أمن الشبكات وأنظمة المعلومات) في مراحل متقدمة. من المتوقع أن تغطي النمسا ما يقرب من 4,000 مؤسسة.

سويسرا — على الرغم من أنها ليست عضواً في الاتحاد الأوروبي، تقوم سويسرا بمواءمة إطار الأمن السيبراني الخاص بها مع مبادئ NIS2. يدمج قانون أمن المعلومات (ISG) المُعدل متطلبات مماثلة، ويجب على الشركات السويسرية التي تمارس الأعمال في الاتحاد الأوروبي الامتثال لـ NIS2 مباشرة.

فرنسا — نفذت فرنسا التوجيه إلى حد كبير في الوقت المحدد، بالاستناد إلى إطار ANSSI القوي بالفعل.

هولندا — يتم الانتهاء من Wet beveiliging netwerk- en informatiesystemen 2 (Wbni 2)، مما يوسع التغطية إلى ما يقرب من 10,000 مؤسسة هولندية.

كيفية الإعداد لامتثال NIS2

الخطوة 1: تحديد ما إذا كنت ضمن النطاق

استخدم قوائم القطاعات وعتبات حد الحجم أعلاه لتقييم ما إذا كانت مؤسستك مؤهلة ككيان أساسي أو مهم. لا تنسَ النظر في التزامات سلسلة التوريد — حتى لو لم تكن مباشرة ضمن النطاق، فقد يطلب عملاؤك ممارسات أمنية متوافقة مع NIS2.

الخطوة 2: إجراء تحليل الفجوات

قارن وضع الأمن السيبراني الحالي الخاص بك مع التدابير الدنيا العشرة في المادة 21. حدد الفجوات في:

الخطوة 3: تقييم سطح الهجوم الخاص بك

لا يمكنك حماية ما لا تعرفه. أجرِ تقييماً شاملاً لسطح الهجوم الخارجي الخاص بك، بما في ذلك:

توفر KENSAI مسحاً آلياً لسطح الهجوم مدعوماً بالذكاء الاصطناعي يرسم خريطة لبصمتك الخارجية بالكامل ويحدد الثغرات قبل أن يفعل المهاجمون. على عكس التقييمات التقليدية في نقطة زمنية، تقدم KENSAI مسحاً مستمراً يتوافق مع متطلب NIS2 لإدارة المخاطر المستمرة.

الخطوة 4: تنفيذ الضوابط الفنية

بناءً على تحليل الفجوات الخاص بك، انشر الضوابط الفنية الضرورية:

الخطوة 5: إنشاء الحوكمة والتوثيق

يتطلب NIS2 سياسات وإجراءات موثقة. كحد أدنى، تحتاج إلى:

الخطوة 6: إعداد قدرات الاستجابة للحوادث

يعني متطلب الإنذار المبكر لمدة 24 ساعة أنك تحتاج إلى:

الخطوة 7: تدريب موظفيك

يفرض NIS2 التدريب على الأمن السيبراني لهيئات الإدارة والموظفين. نفِّذ:

الخطوة 8: إشراك سلسلة التوريد الخاصة بك

راجع علاقات الموردين الخاصة بك و:

NIS2 والاختبار الأمني الآلي

واحدة من أكثر الطرق فعالية لتلبية متطلبات إدارة المخاطر المستمرة لـ NIS2 هي من خلال الاختبار الأمني الآلي. يتطلب التوجيه صراحة معالجة الثغرات والتقييم المنتظم لتدابير الأمن السيبراني — اختبارات الاختراق اليدوية السنوية لم تعد كافية.

تمكّن منصة مسح الثغرات الآلية لـ KENSAI المؤسسات من:

بالنسبة للمؤسسات التي تستعد لـ NIS2، المسح الآلي ليس اختيارياً — إنه ضروري لإظهار التدابير الفنية "المناسبة والمتناسبة" التي يتطلبها التوجيه.

الأسئلة الشائعة

هل ينطبق NIS2 على الشركات غير الأوروبية؟

نعم. إذا كانت مؤسستك تقدم خدمات داخل الاتحاد الأوروبي أو لكيانات مقرها الاتحاد الأوروبي في القطاعات المشمولة، ينطبق NIS2. يجب على الشركات غير الأوروبية تعيين ممثل في الاتحاد الأوروبي.

ما العلاقة بين NIS2 واللائحة العامة لحماية البيانات؟

NIS2 واللائحة العامة لحماية البيانات متكاملان. تركز اللائحة العامة لحماية البيانات على حماية البيانات الشخصية؛ يركز NIS2 على الأمن السيبراني للشبكات وأنظمة المعلومات. يمكن أن يؤدي خرق البيانات إلى التزامات بموجب كلا اللائحتين. يحدد NIS2 حتى أنه يجب مراعاة غرامات اللائحة العامة لحماية البيانات عند تقييم عقوبات NIS2.

هل يمكننا استخدام شهادة ISO 27001 الحالية لامتثال NIS2؟

توفر ISO 27001 أساساً قوياً، لكنها لا تعني تلقائياً امتثال NIS2. لدى NIS2 متطلبات محددة (مثل الإبلاغ عن الحوادث لمدة 24 ساعة) تتجاوز ISO 27001. ومع ذلك، ستجد المؤسسات الحاصلة على شهادة ISO 27001 الانتقال أسهل بكثير.

ماذا لو لم تنفذ دولتنا العضو NIS2 بعد؟

حتى لو تأخر التنفيذ الوطني، فإن متطلبات التوجيه واضحة. يجب على المؤسسات البدء في الإعداد الآن. بمجرد دخول القانون الوطني حيز التنفيذ، يمكن أن يبدأ التنفيذ على الفور — قد لا تكون هناك فترة سماح.

كيف يتفاعل NIS2 مع اللوائح الخاصة بالقطاع؟

يتضمن NIS2 حكم lex specialis: حيث تفرض التشريعات الأوروبية الخاصة بالقطاع متطلبات أمن سيبراني معادلة على الأقل لـ NIS2، تأخذ قواعد القطاع الأسبقية. تشمل الأمثلة DORA للقطاع المالي.

الخلاصة

NIS2 ليس تهديداً تنظيمياً بعيداً — إنه هنا، ويتزايد التنفيذ في جميع أنحاء أوروبا. المؤسسات التي تؤخر الإعداد تخاطر ليس فقط بالغرامات التنظيمية ولكن أيضاً بالضرر السمعة والتشغيلي الذي يأتي من الأمن السيبراني غير الكافي.

متطلبات التوجيه شاملة ولكن قابلة للتحقيق، خاصة مع الأدوات والنهج الصحيحة. ابدأ بفهم نطاقك، وقيّم فجواتك، ونفِّذ تدابير أمنية منهجية ومستمرة.


ابدأ رحلة امتثال NIS2 الخاصة بك اليوم

لا تنتظر بدء إجراءات التنفيذ. تساعدك منصة الأمان المدعومة بالذكاء الاصطناعي من KENSAI في تحديد الثغرات، وتقييم سطح الهجوم الخاص بك، وإظهار المراقبة الأمنية المستمرة التي يتطلبها NIS2.

👉 احصل على فحصك الأمني المجاني على kensai.app/free-scan — اكتشف تعرضك في دقائق، وليس أشهراً.

جرّب KENSAI مجاناً

افحص بنيتك التحتية للثغرات في دقائق — لا حاجة لبطاقة ائتمان.

ابدأ الفحص المجاني ←

نُشر بواسطة KENSAI Security Research — منصة الأمن السيبراني المدعومة بالذكاء الاصطناعي

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home