مشروع قانون الأمن السيبراني التاريخي للاتحاد الأوروبي شيكل 2 دخل حيز التنفيذ الكامل، مما يعني أنه يجب على الشركات الآن الامتثال لمتطلباته أو مواجهة غرامات باهظة.
وبموجب التوجيه، الذي يهدف إلى تنسيق قواعد وإجراءات الأمن السيبراني عبر الكتلة، يجب على الشركات الموجودة في الاتحاد الأوروبي العاملة في القطاعات الحيوية – بما في ذلك الطاقة والنقل والمياه والخدمات المالية والرعاية الصحية – الآن تنفيذ ضمانات صارمة للأمن السيبراني والإبلاغ عن التهديدات السيبرانية الخطيرة. إلى السلطات المختصة.
ونظرًا لأهميتها في مجموعة من سلاسل التوريد، فمن المتوقع أيضًا أن يتبع بائعو تكنولوجيا المعلومات مثل محركات البحث وشركات الحوسبة السحابية وتجار التجزئة عبر الإنترنت هذه القواعد، في حين ستحتاج الدول الأعضاء في الاتحاد الأوروبي نفسها إلى إنشاء قواعد خاصة بها. فريق الاستجابة لحوادث أمن الكمبيوتر (CSIRT)، بالإضافة إلى هيئة وطنية للشبكات وأنظمة المعلومات، إذا لم تكن قد فعلت ذلك بالفعل.
يجب على الشركات في المملكة المتحدة التي توفر منتجاتها وخدماتها للعملاء المقيمين في الاتحاد الأوروبي أن تمتثل أيضًا لمتطلبات NIS2 للحفاظ على العمليات والوصول إلى الأسواق مع الاتحاد الأوروبي، حيث ينطبق ذلك على أي كيانات أساسية أو مهمة تقدم خدمات أو تنفذ أنشطتها داخل الاتحاد الأوروبي، بغض النظر عن ما إذا كان لدى الجهة منشأة داخل حدودها.
قد يؤدي عدم الامتثال للوائح إدارة مخاطر الأمن السيبراني والتزامات الإبلاغ إلى فرض غرامات على المؤسسات بحد أدنى 7,000,000 يورو (أو 1.4% من الإيرادات السنوية العالمية)، أو بحد أقصى 10,000,000 يورو (أو 2% من الإيرادات السنوية العالمية) . وفي كلتا الحالتين، سيتم تغريم الشركة أيهما أعلى.
قال بارت ساليتس، كبير مسؤولي التكنولوجيا الميداني (CTO) لمنطقة أوروبا والشرق الأوسط وأفريقيا في شركة F5، إن NIS2 سينطبق على مجموعة أوسع بكثير من المؤسسات التي ربما لم تكن قد أعطت الأولوية للأمن السيبراني في السابق: “إن أحد أكبر التحديات التي تواجه تسليط الضوء التنظيمي المكثف على الأمن هو تعقيد إضافي لكل من تأمين ومراقبة البنى التحتية الرقمية التي تمتد بشكل متزايد إلى السحب المتعددة ومراكز البيانات الداخلية.
“للتنقل بين التشريعات، يجب على المؤسسات إنشاء رؤية مركزية وإعداد تقارير موحدة عبر منصات الأمان. وستكون الحاجة إلى حلول متكاملة وأدوات إعداد تقارير متطورة – ربما تعتمد على الذكاء الاصطناعي – ضرورية لمساعدة المؤسسات على الوفاء بالتزاماتها المتعلقة بإعداد التقارير بموجب NIS2.
وأضاف مايك سميث، مدير الهندسة والأمن في Qodea، أن الشركات ستحتاج إلى أن تدرك أن NIS2 يتضمن تعريفًا أكثر تفصيلاً لمن يجب أن يكون مسؤولاً أمام اللائحة، في ضوء التصنيفات الجديدة للشركات المختلفة.
“حتى لو لم تكن المنظمة خاضعة للشيكل 1، فإنها قد تقع الآن ضمن نطاق الشيكل 2. وقال: “قد يكون هذا منحنى تعليمي حاد لبعض المنظمات”. “أولئك الذين استثمروا بالفعل بشكل كبير في البنى التحتية الأمنية الحديثة يجب أن يكون لديهم وقت سهل نسبيًا للتكيف – ولكن أولئك الذين لم يفعلوا ذلك سيجدون أنفسهم سريعًا متخلفين عن الركب.”
وفقًا لديفيد هيجينز، المدير الأول في مكتب التكنولوجيا الميداني لشركة CyberArk، فإن المادة 21 من NIS2 على وجه الخصوص تعني أنه سيتعين على الشركات وضع “تدابير أمنية إلكترونية قوية لتأمين سلاسل التوريد الخاصة بها وفرض الوصول إلى الثقة المعدومة”، مما يعني أن أمن الهوية إن اتباع مبادئ الثقة المعدومة سيحتل مركز الصدارة من وجهة نظر الامتثال.
“هذا مهم بشكل خاص لأنه يتعين على المؤسسات حماية شبكة ضخمة من التهديدات بموجب NIS2، بما في ذلك المقاولين من الباطن ومقدمي الخدمات. تحتاج الشركات أيضًا إلى تحديد متطلبات المادة 21 المهمة من NIS2 المتعلقة بالتعامل مع الحوادث والإبلاغ عنها.
“إن وجود استراتيجية قوية لأمن الهوية أمر مهم هنا، ليس فقط لحماية البنية التحتية الحيوية ضد تلك الهجمات المستقبلية الحتمية، ولكن أيضًا لتتبع وإدارة التعامل مع المعلومات المهمة في الوقت الفعلي.”
وتعليقًا على الموعد النهائي لتنفيذ NIS2، قال تيم رايت، الشريك والمحامي التكنولوجي في Fladgate، إن “حالة التنفيذ تختلف بشكل كبير عبر الكتلة”، مع وجود عدد قليل من البلدان التي قامت بتحويلها إلى قوانينها الوطنية.
في حين أنه من المتوقع أن تنشر الدول الأعضاء قوانين وطنية تتوافق مع التوجيه قبل الموعد النهائي للامتثال في 17 أكتوبر 2024، إلا أن ست دول أعضاء فقط قامت حتى الآن بدمج NIS2 في قوانينها الوطنية. وهذه هي بلجيكا وكرواتيا واليونان والمجر ولاتفيا وليتوانيا.
وعلى الرغم من أن معظم دول الاتحاد الأوروبي الأخرى قد بدأت العملية التشريعية لنقل 2 شيكل، إلا أن ثلاث دول – بلغاريا وإستونيا والبرتغال – لم تبدأ بعد هذه العملية.
وأضاف رايت أن فعالية NIS2 ستعتمد في النهاية على “تنفيذها وإنفاذها بشكل متسق عبر الدول الأعضاء”، وأنه في حين أنه ينبغي أن يؤدي إلى تحسينات كبيرة في الوضع السيبراني العام للكتلة، فإن الأمن السيبراني هو سباق تسلح.
وقال: “يجب أن يجعل 2 شيكل الاتحاد الأوروبي هدفا أكثر صعوبة، لكن الخصوم المصممين سيواصلون البحث عن نقاط الضعف”. “يعتمد نجاح التوجيه على مدى جودة تنفيذه وما إذا كان يمكنه تعزيز ثقافة حقيقية للأمن السيبراني، وليس فقط الامتثال.”
