كل ما تحتاج معرفته عن توجيه NIS2: من ينطبق عليه، المتطلبات، غرامات تصل إلى 10 ملايين يورو، المواعيد النهائية، وكيفية إعداد مؤسستك للامتثال.
يمثل توجيه NIS2 (التوجيه (EU) 2022/2555) أهم إصلاح شامل لتنظيم الأمن السيبراني في الاتحاد الأوروبي منذ عقد من الزمن. إذا كانت مؤسستك تعمل في أوروبا، فإن هذا التشريع سيغير بشكل أساسي كيفية تعاملك مع الأمن السيبراني — والعقوبات على عدم الامتثال شديدة.
يغطي هذا الدليل كل ما تحتاج معرفته: ما هو NIS2، من ينطبق عليه، المتطلبات المحددة، المواعيد النهائية، العقوبات، وخارطة طريق واضحة لتحقيق الامتثال.
توجيه NIS2 هو الإطار المحدث للاتحاد الأوروبي لضمان مستوى مشترك عالٍ من الأمن السيبراني عبر جميع الدول الأعضاء. إنه يحل محل توجيه NIS الأصلي (2016/1148)، والذي انتُقد على نطاق واسع بسبب التنفيذ غير المتسق ونطاق ضيق جداً للمشهد الحالي للتهديدات.
اعتُمد من قبل البرلمان الأوروبي في 28 نوفمبر 2022، ويوسع NIS2 بشكل كبير عدد المؤسسات التي تندرج تحت التزامات الأمن السيبراني الإلزامية. قدّرت المفوضية الأوروبية أن توجيه NIS الأصلي غطى ما يقرب من 15,000 كيان عبر الاتحاد الأوروبي. بموجب NIS2، يقفز هذا العدد إلى أكثر من 160,000 مؤسسة — زيادة بعشرة أضعاف.
ترك توجيه NIS الأصلي الكثير من الفجوات:
يعالج NIS2 كل هذه النقائص بمتطلبات متناسقة، ونطاق موسع، وآليات تنفيذ ذات أسنان حقيقية.
يستخدم NIS2 قاعدة حد الحجم مع التصنيف القائم على القطاع. تُصنف المؤسسات إما كـ كيانات أساسية أو كيانات مهمة.
تُعتبر هذه القطاعات حيوية لأداء المجتمع والاقتصاد:
ينطبق NIS2 على المؤسسات في القطاعات المذكورة أعلاه التي تستوفي واحداً على الأقل من هذه العتبات:
استثناءات مهمة: بعض الكيانات مشمولة بغض النظر عن الحجم، بما في ذلك:
حتى لو لم تندرج مؤسستك مباشرة تحت NIS2، فقد تتأثر من خلال متطلبات سلسلة التوريد. يجب على الكيانات الأساسية والمهمة تنفيذ تدابير إدارة مخاطر الأمن السيبراني لسلاسل التوريد الخاصة بها، مما يعني أنها ستدفع متطلبات الامتثال إلى الموردين والشركاء.
تحدد المادة 21 من NIS2 عشرة تدابير دنيا لإدارة مخاطر الأمن السيبراني يجب على جميع الكيانات المشمولة تنفيذها:
إنشاء سياسات شاملة لتحليل المخاطر وأمن نظام المعلومات. يتضمن ذلك تقييمات منتظمة للمخاطر، وسياسات أمنية موثقة، وإطار حوكمة للأمن السيبراني.
تنفيذ إجراءات لمنع واكتشاف والاستجابة لحوادث الأمن السيبراني. يتضمن ذلك:
ضمان المرونة التشغيلية من خلال:
معالجة مخاطر الأمن في العلاقات مع الموردين المباشرين ومقدمي الخدمات. إجراء العناية الواجبة على ممارسات الأمن السيبراني للموردين وتضمين متطلبات الأمان في العقود.
تنفيذ تدابير أمنية تغطي اقتناء وتطوير وصيانة الشبكات وأنظمة المعلومات، بما في ذلك معالجة الثغرات والإفصاح عنها.
إنشاء سياسات وإجراءات لتقييم فعالية تدابير إدارة مخاطر الأمن السيبراني. عمليات تدقيق وتقييمات منتظمة مطلوبة.
تنفيذ ممارسات النظافة السيبرانية وتوفير تدريب منتظم على التوعية بالأمن السيبراني لجميع الموظفين، بما في ذلك الإدارة.
إنشاء سياسات وإجراءات بشأن استخدام التشفير، وحيثما كان ذلك مناسباً، الترميز لحماية البيانات أثناء النقل والراحة.
تنفيذ سياسات التحكم في الوصول المناسبة، وإجراءات إدارة الأصول، والمصادقة متعددة العوامل أو حلول المصادقة المستمرة.
استخدام اتصالات صوتية وفيديو ونصية آمنة، وأنظمة اتصالات طوارئ آمنة داخل المؤسسة.
يقدم NIS2 التزام إبلاغ عن الحوادث متعدد المراحل وهو أكثر تطلباً بكثير من سابقه:
| المرحلة | الموعد النهائي | المتطلب |
|---|---|---|
| إنذار مبكر | خلال 24 ساعة | إخطار CSIRT أو السلطة المختصة بحادث كبير |
| إخطار بالحادث | خلال 72 ساعة | تقديم تقييم أولي بما في ذلك الخطورة والتأثير ومؤشرات الاختراق |
| تقرير متوسط | عند الطلب | تحديث الحالة حول الحادث وتدابير الاستجابة |
| التقرير النهائي | خلال شهر واحد | وصف تفصيلي، السبب الجذري، تدابير التخفيف، والتأثير عبر الحدود |
يُعرَّف الحادث الكبير بأنه حادث:
تمثل أحكام التنفيذ الخاصة بـ NIS2 تغييراً كبيراً عن التوجيه الأصلي:
أحد أكثر الأحكام عواقب في NIS2 هو المادة 20، والتي تتطلب:
هذا يعني أن الأمن السيبراني لم يعد شيئاً يمكن تفويضه بالكامل إلى قسم تقنية المعلومات. يتحمل أعضاء مجلس الإدارة والمديرون التنفيذيون مسؤولية مباشرة.
دخل التوجيه حيز التنفيذ في 16 يناير 2023، وكان على الدول الأعضاء تنفيذه في القانون الوطني بحلول 17 أكتوبر 2024.
ألمانيا — تأخر NIS2-Umsetzungsgesetz (NIS2UmsuCG) لكن من المتوقع أن يدخل حيز التنفيذ في 2025. سيؤثر على ما يُقدر بـ 29,000 مؤسسة في ألمانيا وحدها — ارتفاعاً من حوالي 2,000 بموجب لائحة KRITIS الأصلية. يتجاوز التنفيذ الألماني الحد الأدنى من متطلبات التوجيه في عدة مجالات.
النمسا — NISG 2024 (قانون أمن الشبكات وأنظمة المعلومات) في مراحل متقدمة. من المتوقع أن تغطي النمسا ما يقرب من 4,000 مؤسسة.
سويسرا — على الرغم من أنها ليست عضواً في الاتحاد الأوروبي، تقوم سويسرا بمواءمة إطار الأمن السيبراني الخاص بها مع مبادئ NIS2. يدمج قانون أمن المعلومات (ISG) المُعدل متطلبات مماثلة، ويجب على الشركات السويسرية التي تمارس الأعمال في الاتحاد الأوروبي الامتثال لـ NIS2 مباشرة.
فرنسا — نفذت فرنسا التوجيه إلى حد كبير في الوقت المحدد، بالاستناد إلى إطار ANSSI القوي بالفعل.
هولندا — يتم الانتهاء من Wet beveiliging netwerk- en informatiesystemen 2 (Wbni 2)، مما يوسع التغطية إلى ما يقرب من 10,000 مؤسسة هولندية.
استخدم قوائم القطاعات وعتبات حد الحجم أعلاه لتقييم ما إذا كانت مؤسستك مؤهلة ككيان أساسي أو مهم. لا تنسَ النظر في التزامات سلسلة التوريد — حتى لو لم تكن مباشرة ضمن النطاق، فقد يطلب عملاؤك ممارسات أمنية متوافقة مع NIS2.
قارن وضع الأمن السيبراني الحالي الخاص بك مع التدابير الدنيا العشرة في المادة 21. حدد الفجوات في:
لا يمكنك حماية ما لا تعرفه. أجرِ تقييماً شاملاً لسطح الهجوم الخارجي الخاص بك، بما في ذلك:
توفر KENSAI مسحاً آلياً لسطح الهجوم مدعوماً بالذكاء الاصطناعي يرسم خريطة لبصمتك الخارجية بالكامل ويحدد الثغرات قبل أن يفعل المهاجمون. على عكس التقييمات التقليدية في نقطة زمنية، تقدم KENSAI مسحاً مستمراً يتوافق مع متطلب NIS2 لإدارة المخاطر المستمرة.
بناءً على تحليل الفجوات الخاص بك، انشر الضوابط الفنية الضرورية:
يتطلب NIS2 سياسات وإجراءات موثقة. كحد أدنى، تحتاج إلى:
يعني متطلب الإنذار المبكر لمدة 24 ساعة أنك تحتاج إلى:
يفرض NIS2 التدريب على الأمن السيبراني لهيئات الإدارة والموظفين. نفِّذ:
راجع علاقات الموردين الخاصة بك و:
واحدة من أكثر الطرق فعالية لتلبية متطلبات إدارة المخاطر المستمرة لـ NIS2 هي من خلال الاختبار الأمني الآلي. يتطلب التوجيه صراحة معالجة الثغرات والتقييم المنتظم لتدابير الأمن السيبراني — اختبارات الاختراق اليدوية السنوية لم تعد كافية.
تمكّن منصة مسح الثغرات الآلية لـ KENSAI المؤسسات من:
بالنسبة للمؤسسات التي تستعد لـ NIS2، المسح الآلي ليس اختيارياً — إنه ضروري لإظهار التدابير الفنية "المناسبة والمتناسبة" التي يتطلبها التوجيه.
نعم. إذا كانت مؤسستك تقدم خدمات داخل الاتحاد الأوروبي أو لكيانات مقرها الاتحاد الأوروبي في القطاعات المشمولة، ينطبق NIS2. يجب على الشركات غير الأوروبية تعيين ممثل في الاتحاد الأوروبي.
NIS2 واللائحة العامة لحماية البيانات متكاملان. تركز اللائحة العامة لحماية البيانات على حماية البيانات الشخصية؛ يركز NIS2 على الأمن السيبراني للشبكات وأنظمة المعلومات. يمكن أن يؤدي خرق البيانات إلى التزامات بموجب كلا اللائحتين. يحدد NIS2 حتى أنه يجب مراعاة غرامات اللائحة العامة لحماية البيانات عند تقييم عقوبات NIS2.
توفر ISO 27001 أساساً قوياً، لكنها لا تعني تلقائياً امتثال NIS2. لدى NIS2 متطلبات محددة (مثل الإبلاغ عن الحوادث لمدة 24 ساعة) تتجاوز ISO 27001. ومع ذلك، ستجد المؤسسات الحاصلة على شهادة ISO 27001 الانتقال أسهل بكثير.
حتى لو تأخر التنفيذ الوطني، فإن متطلبات التوجيه واضحة. يجب على المؤسسات البدء في الإعداد الآن. بمجرد دخول القانون الوطني حيز التنفيذ، يمكن أن يبدأ التنفيذ على الفور — قد لا تكون هناك فترة سماح.
يتضمن NIS2 حكم lex specialis: حيث تفرض التشريعات الأوروبية الخاصة بالقطاع متطلبات أمن سيبراني معادلة على الأقل لـ NIS2، تأخذ قواعد القطاع الأسبقية. تشمل الأمثلة DORA للقطاع المالي.
NIS2 ليس تهديداً تنظيمياً بعيداً — إنه هنا، ويتزايد التنفيذ في جميع أنحاء أوروبا. المؤسسات التي تؤخر الإعداد تخاطر ليس فقط بالغرامات التنظيمية ولكن أيضاً بالضرر السمعة والتشغيلي الذي يأتي من الأمن السيبراني غير الكافي.
متطلبات التوجيه شاملة ولكن قابلة للتحقيق، خاصة مع الأدوات والنهج الصحيحة. ابدأ بفهم نطاقك، وقيّم فجواتك، ونفِّذ تدابير أمنية منهجية ومستمرة.
لا تنتظر بدء إجراءات التنفيذ. تساعدك منصة الأمان المدعومة بالذكاء الاصطناعي من KENSAI في تحديد الثغرات، وتقييم سطح الهجوم الخاص بك، وإظهار المراقبة الأمنية المستمرة التي يتطلبها NIS2.
👉 احصل على فحصك الأمني المجاني على kensai.app/free-scan — اكتشف تعرضك في دقائق، وليس أشهراً.
افحص بنيتك التحتية للثغرات في دقائق — لا حاجة لبطاقة ائتمان.
ابدأ الفحص المجاني ←نُشر بواسطة KENSAI Security Research — منصة الأمن السيبراني المدعومة بالذكاء الاصطناعي
Get a free security scan of your website in 60 seconds
Free Security Scan →