تواجه الشركات في كل مكان ضغوطًا لتعزيز أوضاعها الأمنية مع تزايد الهجمات الإلكترونية عبر القطاعات. ومع ذلك، كانت العديد من المنظمات مترددة في الاستثمار في الأمن السيبراني لعدة أسباب مثل قيود الميزانية والقضايا التشغيلية. الاتحاد الأوروبي الجديد توجيه أمن الشبكات والمعلومات (NIS2) تواجه هذا التردد بشكل مباشر من خلال إلزام الشركات في أوروبا – وتلك التي تتعامل مع أوروبا – بالاستثمار في الأمن السيبراني وتحديد أولوياته بغض النظر عن الميزانيات وهياكل الفريق.
ما هو شيكل 2؟
تم تنفيذ أول توجيه NIS في عام 2016، والذي كان بمثابة مسعى الاتحاد الأوروبي لتوحيد استراتيجيات الأمن السيبراني عبر الدول الأعضاء. في عام 2023، قدمت اللجنة توجيه NIS2، وهو عبارة عن مجموعة من التنقيحات على NIS الأصلي. كان مطلوبًا من كل دولة عضو تنفيذ توصيات NIS2 في أنظمتها القانونية الوطنية بحلول 17 أكتوبر 2024.
ركزت NIS الأصلية على تحسين الأمن السيبراني لعدة قطاعات، مثل الخدمات المصرفية والمالية والطاقة والرعاية الصحية. يقوم NIS2 بتوسيع هذا النطاق ليشمل كيانات أخرى، بما في ذلك الخدمات الرقمية، مثل مقدمي خدمات نظام اسم النطاق (DNS)، وسجلات أسماء نطاق المستوى الأعلى (TLD)، ومنصات الشبكات الاجتماعية ومراكز البيانات، إلى جانب تصنيع المنتجات المهمة، مثل المستحضرات الصيدلانية. والأجهزة الطبية والمواد الكيميائية؛ الخدمات البريدية والبريد السريع؛ وإدارة مياه الصرف الصحي والنفايات.
يُطلب الآن من المؤسسات العاملة في هذه الصناعات تنفيذ ممارسات أكثر قوة لإدارة المخاطر السيبرانية مثل الإبلاغ عن الحوادث، وتحليل المخاطر والتدقيق، والمرونة/استمرارية الأعمال، وأمن سلسلة التوريد. على سبيل المثال، يجب على الدول الأعضاء التأكد من أن سجلات أسماء TLD وخدمات تسجيل النطاق تقوم بجمع بيانات تسجيل دقيقة وكاملة في قاعدة بيانات مخصصة. وتعزز اللوائح الجديدة أيضًا آليات الإشراف والإنفاذ، مما يتطلب من السلطات الوطنية مراقبة الامتثال والتحقيق في الحوادث وفرض عقوبات على عدم الامتثال.
والهدف من هذه التدابير الجديدة هو ضمان استقرار البنية التحتية للمجتمع في مواجهة التهديدات السيبرانية. وسوف تستفيد الكيانات في الاتحاد الأوروبي من اعتماد هذه التدابير الأمنية على المدى الطويل، مما يمنع بشكل أفضل وقوع هجوم إلكتروني مدمر. ومن خلال القيام بذلك، سيتجنبون أيضًا عقوبات 2 شيكل، والتي هي أكثر عقابًا بكثير ومحددة بوضوح من تلك التي تم إنشاؤها بموجب التوجيه الأصلي.
التأثير على المنظمات
تمامًا مثل الطريقة التي أعادت بها اللائحة العامة لحماية البيانات (GDPR) للاتحاد الأوروبي معايير الخصوصية عالميًا، تضع NIS2 متطلبات واضحة للشركات لإنشاء دفاعات أمنية أقوى، ولكن ليس بدون تكلفة. يمكن أن يؤدي عدم الامتثال إلى عقوبات مالية شديدة وآثار قانونية.
قوبل الإطلاق الرسمي لـ NIS2 في أكتوبر بردود فعل متباينة. وبينما تمكنت بعض المنظمات من الإدلاء بشهادتها، إلا أنها كانت تستعد طوال الوقت، بينما تركت منظمات أخرى كثيرة شيكل 2 على نار هادئة. بالإضافة إلى ذلك، نتيجة للقطاعات الجديدة التي يغطيها مشروع NIS2، كانت هناك شركات لم تعتقد في البداية أنها ستتأثر، وبالتالي لم تضع الأساس الخاص بها.
بعد كل هذا، سيكون من المثير للاهتمام أن نرى كيف سيتم تنفيذ العقوبات في عام 2025. إذا لم تثبت المنظمات الامتثال في وقت مبكر من العام الجديد، أو على الأقل تظهر تقدمًا نحو الامتثال، أتوقع أننا سنبدأ في رؤية العواقب، على الرغم من ذلك وربما يكون من السابق لأوانه معرفة القطاعات التي ستواجه هذه التحديات أولا.
بالنسبة لأولئك الذين ما زالوا يتصارعون مع تنفيذ NIS2، قد يبدو الأمر وكأنه مهمة شاقة، لكنه كذلك لا يجب أن يكون. فيما يلي ثلاث إجراءات يمكن للمنظمات اتخاذها اليوم لضمان تنفيذ NIS2 بشكل أكثر سلاسة:
1. تقييم شركاء عملك.
إن NIS2 لا يقتصر فقط على تعزيز أمن شركة واحدة؛ كما يتطلب أيضًا من الشركات إجراء تقييم شامل لكل كيان تتعامل معه في سلسلة التوريد الخاصة بها. تكون قوة السلسلة بقدر قوة أضعف حلقاتها، ويمكن قول الشيء نفسه بالنسبة للشركات والمواقف الأمنية لشركائها. من الضروري أن تقوم المؤسسات بمراجعة شركائها للتأكد من أن كل كيان تتعامل معه يلبي متطلبات NIS2. إن تقييم أي ثغرات أمنية الآن يمكن أن يساعد في تجنب المشكلات التي يتم تجاهلها في المستقبل.
2. توحيد المجالات الخاصة بك.
لقد سمعنا من خلال الروايات المتناقلة أن بعض الشركات ليست على دراية كاملة بمسجلي النطاقات الخاصة بهم أو من المسؤول عن إدارة النطاقات وتأمينها داخل مؤسستهم. هذا النقص في المعرفة يخلق أكثر من بيئات عمل منعزلة؛ يمكن أن يسبب تداعيات كبيرة عندما يتعلق الأمر بإدارة النطاق الآمنة والامتثال لـ NIS2. يساعد اتباع نهج أكثر اتساقًا وموحدًا لإدارة النطاقات وتأمينها على تعزيز أمان المجال العام للمؤسسة والتحقق من مهمة أخرى من قائمة التحقق من الامتثال الخاصة بالفريق.
3. حافظ على اهتمامك بالأمن على مستوى المؤسسة.
مع متطلبات NIS2 الجديدة، يجب على الشركات الإبلاغ عن حوادث الأمن السيبراني في غضون 24 ساعة. يتطلب هذا الطلب تحولًا ثقافيًا على مستوى المنظمة إلى نهج أكثر مراعاة للأمن في الطريقة التي يقومون بها بأعمالهم. على سبيل المثال، قد تحتاج الشركات إلى تقييم بروتوكولات الأمن السيبراني المطبقة لديها لتأمين طريقة تفاعلها مع عملائها وسلسلة التوريد الخاصة بها. وبدون أن يكون الأمن في مقدمة الأولويات، قد تفوت الشركات متطلبات NIS2 مما قد يؤدي إلى خسارة الإيرادات، وفقدان العملاء، وحتى الخدوش في سمعتها. لا يحدث هذا التحول بين عشية وضحاها، ولكن العمل مع الشركاء المهتمين بالأمن يساعد المؤسسات على البقاء في المقدمة فيما يتعلق بأمنها.
نظرًا لأن مجرمي الإنترنت أصبحوا أكثر مراوغة في استهداف المنظمات ذات السمعة الطيبة، وبما أن التوترات الجيوسياسية العالمية تترك العديد من الشركات في مرمى هجمات الدول القومية، فإن الالتزام بمعايير NIS2 يصبح أكثر أهمية. تمثل هذه الاستراتيجيات الثلاث مبادئ توجيهية للمؤسسات للمساهمة في بيئة مؤسسية أكثر أمانًا وأمانًا في أوروبا وحول العالم.
