يدخل توجيه NIS2 حيز التنفيذ لتعزيز الأمن السيبراني في جميع أنحاء الاتحاد الأوروبي
كان نوفمبر 2022 شهرًا مزدحمًا بالنسبة للمفوضية الأوروبية، حيث تم إقرار تشريعين رئيسيين يهدفان إلى تعزيز الأمن السيبراني والمرونة السيبرانية للدول الأعضاء والمنظمات عبر الكتلة.
الأول هو قانون المرونة التشغيلية الرقمية (DORA)، الذي يغطي قطاع التمويل والشركات التي تقدم خدمات تكنولوجيا المعلومات والاتصالات والبنية التحتية لكيانات القطاع المالي.
أما الثاني فكان التحديث الذي طال انتظاره لتوجيهات أمن الشبكات وأنظمة المعلومات (NIS)، والمعروفة باسم NIS 2.
الهدف العام لـ NIS 2 هو خلق مستوى مشترك عالٍ من الأمن السيبراني في الاتحاد الأوروبي، عبر جميع الدول الأعضاء، على المدى الطويل.
هذه هي المقالة الأولى في سلسلة مدونات IDC المكونة من جزأين والتي ستركز على الآثار المترتبة على NIS 2.
الساعة تدق
تم نشر النص الكامل لتوجيهات NIS 2 في الجريدة الرسمية للاتحاد الأوروبي في 27 ديسمبر 2022، ويدخل حيز التنفيذ بعد 20 يومًا من ذلك (16 يناير 2023).
وبعد ذلك، سيكون أمام الدول الأعضاء 21 شهرًا لإدراج التوجيه في قانونها الوطني (بحلول 17 أكتوبر 2024). ماذا يحدث بين الحين والآخر؟
بناء الإطار (العمل)
ستكون الأشهر الـ 21 المقبلة حاسمة لنجاح NIS 2 حيث ستعمل الهيئات الإقليمية والوطنية على نقل مواد التوجيه إلى تشريعاتها الوطنية. من سيكون مسؤولاً عن هذا الجزء من العملية؟
وسيكون المحرك الرئيسي في هذا الصدد هو مجموعة تعاون NIS، التي تأسست في عام 2017 لدعم التوجيه الأول لـ NIS.
تضم مجموعة التعاون ممثلين عن جميع الدول الأعضاء في الاتحاد الأوروبي والمفوضية الأوروبية ووكالة الاتحاد الأوروبي للأمن السيبراني (ENISA).
وسيقدم الفريق التوجيه للسلطات الوطنية في الدول الأعضاء بشأن نقل التوجيه وتنفيذه.
كما ستوفر التوجيه والمشورة والتعاون في العديد من المجالات ذات الصلة بما في ذلك مبادرات سياسة الأمن السيبراني وبناء القدرات والتدريب والتوعية وتبادل المعلومات وأفضل الممارسات والكشف عن نقاط الضعف.
وسيكون أيضًا مسؤولاً عن تحديد المعايير والمواصفات الفنية، بالإضافة إلى الاحتفاظ بسجل مركزي للكيانات الأساسية والمهمة في كل دولة.
وستكون المجموعة الرئيسية الثانية عبارة عن شبكة من فرق الاستجابة لحوادث أمن الكمبيوتر (CSIRTs) في جميع الدول الأعضاء.
سيتم تعيين فريق CSIRT واحد على الأقل في كل دولة كسلطة مختصة للقيام بأدوار مختلفة بما في ذلك التعاون والتنسيق الدولي، ومراقبة التهديدات وتحليلها، وتوفير الاستجابة للحوادث والمساعدة للكيانات الأساسية.
والكيان الرئيسي الثالث هو شبكة منظمة الاتصال الأوروبية للأزمات السيبرانية (EU-CyCLONe). وتتمثل مهمتها في دعم الإدارة المنسقة لحوادث وأزمات الأمن السيبراني واسعة النطاق على المستوى التشغيلي.
كما سيضمن التبادل المنتظم للمعلومات بين الدول الأعضاء والكيانات ذات الصلة داخل الاتحاد. سوف يتضاعف دور EU-CyCLONe بالفعل بمجرد وضع التوجيه موضع التنفيذ.
المسؤوليات الرئيسية سوف تشمل ما يلي:
- تطوير الوعي الظرفي المشترك لحوادث الأمن السيبراني واسعة النطاق
- تقييم تأثير حوادث الأمن السيبراني واسعة النطاق واقتراح تدابير التخفيف المحتملة
- تنسيق إدارة حوادث الأمن السيبراني واسعة النطاق ودعم اتخاذ القرار على المستوى السياسي
فيما بينها، سيتم تكليف هذه المنظمات، جنبًا إلى جنب مع الدول الأعضاء نفسها، بضمان أنه عندما يدخل مشروع القانون الجديد 2 حيز التنفيذ على المستوى الوطني، سيتم نقله بشكل مناسب إلى القانون الوطني وتكون البلدان قادرة على وضع الهياكل والآليات اللازمة.
موارد.
ركل الإطارات
كان أحد الانتقادات الموجهة إلى توجيه NIS الأول هو أنه يفتقر إلى القوة.
وتسعى المفوضية الأوروبية جاهدة إلى إنشاء نظام الشيكل 2 بشكل أكثر صرامة في جميع أنحاء الكتلة، وأحد الإجراءات التي تسعى من خلالها إلى القيام بذلك هو مراجعات النظراء.
وتهدف هذه إلى تقييم مدى توافق التوجيه وتقدمه واستعداده على المستوى الوطني. على سبيل المثال، ستقوم مراجعات النظراء بتقييم:
- مستوى تنفيذ تدابير إدارة مخاطر الأمن السيبراني والتزامات الإبلاغ
- مستوى القدرات بما في ذلك الموارد المالية والفنية والبشرية المتاحة
- القدرات التشغيلية لفرق CSIRT في البلاد
- مستوى تنفيذ ترتيبات تبادل معلومات الأمن السيبراني
ويجب إجراء مراجعات النظراء من قبل خبراء معينين في مجال الأمن السيبراني من دولتين عضوين على الأقل، مرة واحدة كل عامين كحد أقصى.
من المتوقع أن يقدم الخبراء الذين يقومون بالمراجعات تقارير تتضمن التحسينات الموصي بها في أي من الجوانب التي تمت مراجعتها. وسيتم تقديم هذه التقارير إلى مجموعة التعاون وشبكة CSIRT حيثما كان ذلك مناسبًا.
خاتمة
يجب أن تضمن هذه الكيانات والعمليات أنه على المستوى الإقليمي والوطني يستطيع الاتحاد الأوروبي والدول الأعضاء فيه تطوير مستوى أعلى من الأمن السيبراني والمرونة من خلال الالتزام بتوجيه NIS 2.
سيتناول الجزء الثاني من سلسلة المدونات هذه المنظمات التي سيتم تطبيق NIS 2 عليها وما هو المطلوب منها.
المصدر: idceurope
قد يهمك:
