مشروع قانون الأمن السيبراني التاريخي للاتحاد الأوروبي شيكل 2 لا يفصلنا عن دخول هذا القانون حيز التنفيذ سوى بضعة أشهر. ويهدف القانون، الذي حدد موعدًا نهائيًا للامتثال له في 17 أكتوبر/تشرين الأول، إلى تحسين قدرة الاتحاد على مكافحة المستويات المتزايدة من الجرائم الإلكترونية من خلال ضمان اتباع جميع الدول الأعضاء لنفس قواعد وإجراءات الأمن الإلكتروني.
بموجب هذا التوجيه، يجب على كل دولة عضو في الاتحاد الأوروبي إنشاء نظامها الخاص فريق الاستجابة لحوادث أمن الكمبيوتر (CSIRT) وهيئة وطنية للشبكات وأنظمة المعلومات إذا لم تكن قد فعلت ذلك بالفعل. وفي الوقت نفسه، سيعمل الاتحاد الأوروبي على إنشاء مجموعة تعاونية لأنظمة المعلومات الوطنية لتسهيل التعاون في مسائل الأمن السيبراني بين الدول الأعضاء.
إلى جانب زيادة التدقيق على الدول الأعضاء في الاتحاد الأوروبي، فإن توجيه NIS2 سيجبر أيضًا الشركات التي تتخذ من الاتحاد الأوروبي مقراً لها والتي تعمل في قطاعات حيوية مثل الطاقة والنقل والمياه والخدمات المالية والرعاية الصحية على تنفيذ ضمانات صارمة للأمن السيبراني والإبلاغ عن التهديدات السيبرانية الخطيرة إلى السلطات المختصة.
نظرًا لأن العديد من الشركات تقع ضحية لاختراقات إلكترونية بسبب ثغرات أمنية في سلاسل التوريد الخاصة بها، فمن المتوقع أيضًا أن يتبع موردو تكنولوجيا المعلومات مثل محركات البحث وشركات الحوسبة السحابية وتجار التجزئة عبر الإنترنت هذه القواعد. مع وضع هذا في الاعتبار، فإن العديد من الشركات البريطانية التي تبيع منتجاتها وخدماتها في الاتحاد الأوروبي ستكون متأثرة بـ NIS2بغض النظر عن خروج بريطانيا من الاتحاد الأوروبي، فكيف يمكنهم الامتثال لمعيار NIS2 في مثل هذا الإطار الزمني الضيق؟
ضروري للشركات في المملكة المتحدة
إن تطبيق نظام NIS2 من قبل الاتحاد الأوروبي سيكون له “تأثير متتالي” على الشركات في المملكة المتحدة مماثل لتأثير اللائحة العامة لحماية البيانات (GDPR)، وفقًا لـ نيل ثاكر، كبير مسؤولي أمن المعلومات (CISO) لمنطقة أوروبا والشرق الأوسط وأفريقيا في شركة برمجيات السحابة نتسكوب.
القانون يلزم المنظمات الأوروبية لتعزيز الأمن السيبراني لسلاسل التوريد الخاصة بهملذا، إذا قامت الشركات البريطانية بتوريد منتجاتها وخدماتها إلى العملاء المقيمين في الاتحاد الأوروبي، فيجب عليها الامتثال لمتطلبات NIS2. ويقول ثاكر إن هذا أمر أساسي للسماح لها “بالحفاظ على العمليات والعلاقات مع العملاء والشركاء في الاتحاد الأوروبي”.
ويضيف ثاكر أنه بسبب الطبيعة المترابطة للاقتصاد العالمي اليوم، يشجع نظام NIS2 عمومًا المنظمات العاملة خارج الاتحاد الأوروبي على تبني مجموعة مماثلة من سياسات إدارة المخاطر لتعزيز موقفها الجماعي في مجال الأمن السيبراني. ويقول إن القيام بذلك من شأنه أن يساعد في تعزيز “معيار موحد للأمن السيبراني” على مستوى العالم ويعني أن السياسات التي يفرضها نظام NIS2 “تتحول بسرعة إلى القاعدة في جميع أنحاء العالم”.
ويضيف: “في حين غيّر خروج بريطانيا من الاتحاد الأوروبي المشهد القانوني، فقد لا تزال الشركات البريطانية بحاجة إلى الامتثال لمعيار الأمن السيبراني 2 بسبب تأثيره المتتالي. ويعود هذا الامتثال إلى الحاجة إلى الاتساق في مجال الأمن السيبراني، والوصول إلى الأسواق، والتعاون الدولي في جميع أنحاء سلسلة التوريد العالمية”.
إن الامتثال لتوجيه NIS2 هو أكثر من مجرد تمرين أساسي للشركات البريطانية التي تتاجر في أوروبا. يقول بن تود، نائب الرئيس الإقليمي لمبيعات الأمن في منطقة أوروبا والشرق الأوسط وأفريقيا في شركة أمن السحابة: ديناتريسويرى البعض أن ذلك قد يساعدهم على المدى الطويل.
ويزعم أن هذا من شأنه أن يمكن الشركات البريطانية من تبسيط عملياتها في مختلف أنحاء الاتحاد الأوروبي، والحفاظ على القدرة على الوصول إلى سوقه المزدهرة، والمساهمة في بناء اقتصاد عالمي قوي وآمن. ويقول تود لـ Computer Weekly: “في الواقع، يمكن أن يساعد التوافق مع NIS2 الشركات البريطانية على تجنب الحواجز التجارية المحتملة وتعزيز الثقة مع شركاء الاتحاد الأوروبي وعملائه”.
الامتثال للتوجيه
وفقًا لكريستال مورين، إستراتيجية الأمن السيبراني في شركة أمن السحابة، فإن الخطوة الأولى لتحقيق الامتثال لمعايير NIS2 هي فهم متطلباتها وكيفية تطبيقها على كل شركة. سيدسيج.
وبعد فهم هذه السياسات وأهميتها التنظيمية، تقول إنه ينبغي لقادة الأعمال والأمن أن يعملوا معًا لضمان تنفيذ السياسات والإجراءات الصحيحة.
إذا لم يكن الأمر كذلك، فيجب عليهم العمل على خطة تنفيذ شاملة قبل الموعد النهائي للامتثال في أكتوبر. ويضيف مورين: “قد يشمل هذا استخدام التشفير من البداية إلى النهاية، وخطة التعافي من الكوارث، و/أو تعيين مسؤولي الأمن”.
عندما يتعلق الأمر بالبحث في توجيه NIS2يوصي ثاكر الشركات في المملكة المتحدة بالتركيز على مراجعة المادتين 20 و21 من الفصل الثالث. توضح هذه الأقسام بالتفصيل تدابير الحوكمة وإدارة مخاطر الأمن السيبراني التي يجب على الشركات البريطانية التي لها مصالح تجارية في الاتحاد الأوروبي تبنيها، بدءًا من التعامل مع حوادث الأمن السيبراني إلى قضايا أمن سلسلة التوريد.
ورغم أهمية فهم الشركات لهذه المتطلبات وتنفيذها، فإن ثاكر يحذر من أن هذا ليس مجرد تمرين على القراءة. بل يتعين على الشركات أن تعمل باستمرار على تحسين ضوابطها وإجراءاتها الخاصة بالأمن السيبراني مع ظهور مخاطر جديدة.
وهنا يمكن لبعض مبادئ وممارسات الأمن السيبراني الرئيسية أن تساعد، أولها وهو عدم الثقةيوضح ثاكر أن تطوير وتنفيذ استراتيجية الثقة الصفرية سيسمح للشركات بالتحقق من أي شخص يحاول الدخول إلى شبكاتها وأصولها الحاسوبية، مما يحميها من الأطراف الضارة.
ثانياً، أوصى بتوسيع إجراءات تكوين الأجهزة لتغطية أجهزة إنترنت الأشياء (IoT) والتكنولوجيا التشغيلية (OT)، فضلاً عن الأجهزة التقليدية، لتحقيق “تغطية أمنية شاملة”.
ثالثًا، يقول ثاكر إن الشركات يمكنها تعزيز برامج إدارة الهوية والوصول الخاصة بها من خلال دمجها مع تدابير إدارة الأصول واستخدام التدريب في الوقت الفعلي لتحسين وعي الموظفين بقضايا الأمن السيبراني.
وأخيرا، يحث ثاكر الشركات على اتباع نهج متعدد الجوانب لإدارة التهديدات. فبدلا من مجرد استخدام تقنيات الكشف عن البرامج الضارة القائمة على التوقيع، يقترح إضافة التهديد الداخلي وتكتيكات الهندسة الاجتماعية إلى المزيج.
ويقول لمجلة Computer Weekly: “الهدف هو تحسين النضج الشامل لممارسات الأمن السيبراني في مؤسستك، والبناء على الأساسيات الحالية وتعزيزها لتلبية معايير NIS2.”
تقول راينا ستامبوليسكا، الرئيسة التنفيذية لشركة الاستشارات، إن الخطوة الأساسية في رحلة الامتثال لمعايير NIS2 هي الحصول على الدعم والتأييد من أعضاء C-Suite استراتيجية RSوتقول إن هذا مهم بشكل خاص للشركات التي لم تخضع لمعايير NIS1 في الماضي أو إذا كانت لا تنظر حاليًا إلى الأمن السيبراني كأولوية قصوى.
وكجزء من هذه العملية، تقدم ستامبوليسكا المشورة لفرق الأمن السيبراني والقيادات العليا لتحديد الخدمات والعمليات والأصول المهمة التي يجب تغطيتها من خلال نهج إدارة المخاطر والتخفيف منها في NIS2.
“خلال رحلة الامتثال الخاصة بك، تحتاج إلى إشراك الإدارة العليا حيث أن NIS2 لديها تركيز خاص على الحوكمة والتوعية التي تشمل إدارة الأعمال بأكملها وليس فقط فريق أو أدوار الأمن السيبراني”، كما تقول.
وتقول إنه بالإضافة إلى إشراك المسؤولين التنفيذيين في عملية الامتثال، يتعين على فرق الأمن السيبراني أيضًا التأكد من أن إجراءات إدارة الحوادث والإبلاغ عنها تتبع إرشادات NIS2. وذلك لأن التوجيه يحتوي على “جداول زمنية ومتطلبات دقيقة” فيما يتعلق بهذه المسائل.
روب أوكونور، رئيس قسم التكنولوجيا ومدير أمن المعلومات في شركة أمريكية تقدم حلول التكنولوجيا للمؤسسات بصيرةوتقول الشركات التي اضطرت إلى إصلاح عملياتها للالتزام بمعايير حماية البيانات العامة (GDPR) لا ينبغي لها أن تواجه صعوبات في الامتثال لمعايير NIS2.
ويقول: “سوف يطبقون تدابير أمنية أقوى، وتشفيرًا أفضل، ويعززون تقاريرهم، وسوف يقومون بإصلاح خطط استمرارية الأعمال لضمان قدرتهم على التعافي من الحوادث بشكل أفضل”.
ومع ذلك، بالنسبة للشركات التي بدأت حديثًا في مثل هذه العملية، يوصي O’Connor بتقييم عمليات إدارة التهديدات السيبرانية الحالية لديها وإيجاد طرق لتحسينها في ضوء NIS2. وبعد تحديد أي ثغرات، يجب على الشركات إنشاء وتنفيذ خطة قوية للاستجابة للحوادث وفقًا للتوجيه.
وأضاف أنه يتعين عليهم السعي إلى الإبلاغ عن الحوادث الإلكترونية إلى الهيئات الحاكمة في أسرع وقت ممكن، واعتماد التشفير والمصادقة متعددة العوامل لمزيد من الحماية، فضلاً عن توفير التدريب على التوعية بالأمن الإلكتروني على مستوى المنظمة.
التحديات التي يجب التغلب عليها
قد تواجه الشركات التي تبدأ رحلتها في الامتثال لمعايير NIS2 تحديات مختلفة على طول الطريق. سيباستيان جيرلاش، المدير الأول للسياسات وتمكين القطاع العام في منطقة أوروبا والشرق الأوسط وأفريقيا في شركة الأمن السيبراني العملاقة شبكات بالو ألتوويصفها بأنها نقلة نوعية للشركات الصغيرة والمتوسطة.
ويقول جيرلاش: “غالبًا ما تفتقر هذه الكيانات إلى الموارد والخبرة القانونية التي تتمتع بها نظيراتها الأكبر حجمًا، وتواجه منحنى تعليمي أكثر صعوبة في فهم اللوائح الجديدة والالتزام بها”.
بهارات ميستري، المدير الفني للمملكة المتحدة وأيرلندا في منصة أمن السحابة تريند مايكروويتفق على أن العديد من الشركات في المملكة المتحدة من المرجح أن تواجه صعوبات في الالتزام بمعايير NIS2 بسبب مستوى الاستثمار والتجنيد والتدريب الذي تتطلبه هذه المعايير من الشركات.
ويحذر من أن تحديث البنية الأساسية لتكنولوجيا المعلومات القديمة، ودمج التقنيات الأحدث في الأنظمة القائمة، وإنشاء إجراءات متطورة للاستجابة للحوادث، هي خطوات ضرورية ولكنها معقدة من توجيه NIS2 للشركات لتنفيذها. ويضيف ميستري: “بالإضافة إلى ذلك، فإن ضمان امتثال سلسلة التوريد ومعالجة التحديات الخاصة بالقطاعات يضيف المزيد من الصعوبات، وخاصة بالنسبة لسلاسل التوريد الرقمية أو سلاسل التوريد الخاصة بالبرمجيات”.
علاوة على ذلك، قد تجد فرق أمن تكنولوجيا المعلومات صعوبة في تشجيع المديرين التنفيذيين على إدراك قيمة الاستثمار في دفاعات الأمن السيبراني والتدريب على التوعية. ومع ذلك، فهذه معركة يجب عليهم الفوز بها لضمان وفاء الشركة بالتزاماتها بموجب معيار NIS2.
توم أسكروفت، مدير أمن المعلومات لشركة صناعة برامج المؤسسات الوحدة 4وتشير شركة NIS2 إلى أنها تتطلب من أعضاء مجلس الإدارة والقيادة العليا فهم التهديدات السيبرانية من خلال الالتحاق بدورات تدريبية ومهنية في الصناعة.
ويقول: “قد يكون من الصعب تقديم التدريب على هذا المستوى بالمستوى الصحيح. ومع ذلك، فهي فرصة لتعزيز موقفك الأمني بشكل أكبر من خلال تسليط الضوء على هذه الحاجة والتواصل مع أصحاب المصلحة هؤلاء”.
وبغض النظر عن هذه التحديات، يتعين على الشركات اتخاذ كافة الخطوات اللازمة للتغلب عليها وتحقيق الامتثال لمعايير NIS2 بحلول الموعد النهائي المحدد في أكتوبر/تشرين الأول. وإلا فإنها تواجه احتمال فرض غرامات باهظة وإلحاق الضرر بسمعتها نتيجة للإجراءات التنظيمية.
ويختتم مورين حديثه قائلاً: “أولئك الذين لا يملكون بالفعل خطط مراقبة مستمرة أو استجابة للحوادث كانوا بحاجة إلى التحرك منذ فترة طويلة. والعقوبات المترتبة على عدم الامتثال باهظة ولا تستحق العناء؛ فقد تصل إلى 10 ملايين يورو أو 2% من الإيرادات السنوية العالمية، أيهما أعلى”.
