توجيه NIS2 – ماذا يوجد في قائمة مهامك؟

توجيه NIS2

هذه هي المدونة الثانية في سلسلة IDC التي تركز على الآثار المترتبة على التوجيه المحدث لأمن الشبكات وأنظمة المعلومات الصادر عن الاتحاد الأوروبي، NIS2.

 ويدخل التوجيه حيز التنفيذ في يناير/كانون الثاني 2023، وبعد ذلك يكون لدى الدول الأعضاء 21 شهرًا لإدراجه في قانونها الوطني – بحلول أكتوبر/تشرين الأول 2024.

الهدف العام لـ NIS2 هو خلق مستوى مشترك عالٍ من الأمن السيبراني في الاتحاد الأوروبي، عبر جميع الدول الأعضاء، على المدى الطويل.

نظرت المدونة الأولى إلى الكيانات الإقليمية والوطنية المكلفة بنقل وتنفيذ التوجيه الجديد، بالإضافة إلى بعض الآليات التي يتم وضعها لتحسين الأمن السيبراني عبر الكتلة.

تتناول هذه الدفعة الثانية المنظمات التي سيتم تطبيق NIS2 عليها وما هو المطلوب منها.

توسيع نطاق الوصول

قدم التوجيه الأول لـ NIS تركيزًا واضحًا على تحسين الأمن السيبراني وإدارة المخاطر في البنية التحتية الحيوية في أوروبا: الطاقة (الكهرباء والنفط والغاز)، والنقل، وإمدادات مياه الشرب وتوزيعها، والرعاية الصحية، والخدمات المصرفية والمالية، والبنية التحتية الرقمية (تبادل الإنترنت).

النقاط، ومقدمو خدمة DNS، وسجلات أسماء النطاقات ذات المستوى الأعلى (TLD). تم تعريف هؤلاء على أنهم مشغلو الخدمات الأساسية (OES’s).

لقد أدى حجم وتواتر الهجمات السيبرانية منذ دخول التوجيه الأول حيز التنفيذ إلى إيصال رسالة مفادها أن ضمانات وتحسينات الأمن السيبراني يجب أن تكون بعيدة المدى. 

قطاعات الصناعة التي قد لا يُنظر إليها على أنها حيوية قد توفر مكونات أو خدمات للبنية التحتية الحيوية، من المعدات الكهربائية إلى الأجهزة الطبية. 

يمكن أن يكون لتعطيل إنتاج الغذاء وتوزيعه أو إدارة النفايات تأثير كبير على وظيفة المجتمع. إن مقدمي الخدمات الرقمية مثل محركات البحث والأسواق عبر الإنترنت معروفون بقيمتهم العالمية.

وبالتالي، فإن توجيه NIS2 يوسع نطاق التغطية ليشمل جميع هذه القطاعات وأكثر. فيما يلي قائمة كاملة بالقطاعات المحددة على أنها ذات أهمية عالية أو حرجة:

القطاعات ذات الأهمية العالية

  • طاقة.
  • ينقل.
  • الخدمات المصرفية.
  • البنية التحتية للأسواق المالية.
  • صحة.
  • يشرب الماء.
  • مياه الصرف الصحي.
  • البنية التحتية الرقمية.
  • إدارة خدمات تكنولوجيا المعلومات والاتصالات (B2B).
  • الإدارة العامة.
  • فضاء.

القطاعات الحيوية الأخرى

  • خدمات البريد والبريد السريع.
  • إدارة المخلفات.
  • تصنيع وإنتاج وتوزيع المواد الكيميائية.
  • إنتاج الأغذية وتجهيزها وتوزيعها.
  • التصنيع (الأجهزة الطبية، الكمبيوتر، المنتجات الإلكترونية والبصرية، المعدات الكهربائية، السيارات، معدات النقل).
  • مقدمو الخدمات الرقمية (الأسواق عبر الإنترنت ومحركات البحث والشبكات الاجتماعية).
  • المنظمات البحثية.

علاوة على ذلك، من المسلم به أن الشركات الكبيرة ليست وحدها التي تمثل هدفًا لمجرمي الإنترنت أو التي تعتبر أساسية للخدمات الحيوية.

 وبالتالي، فإن توجيه NIS2 يوسع أيضًا النطاق ليشمل مؤسسات السوق المتوسطة التي تضم 250 موظفًا أو أكثر ويبلغ حجم مبيعاتها 10 ملايين يورو أو أكثر.

قائمة المهمات

لذا، إذا كانت مؤسستك تقع ضمن القطاعات التي يغطيها نظام NIS2، ما هي المتطلبات التي ستأتي في طريقك خلال العامين المقبلين؟ هناك جانبان رئيسيان لذلك، تم تفصيلهما في الفصل 4 من التوجيه، وتدابير إدارة مخاطر الأمن السيبراني والتزامات الإبلاغ.

تغطي المادة 21 من التوجيه تدابير إدارة مخاطر الأمن السيبراني وتسرد المجالات العشرة التالية كحد أدنى للتوصية:

  • سياسات تحليل المخاطر وأمن نظم المعلومات
  • التعامل مع الحادث
  • استمرارية الأعمال وإدارة الأزمات
  • أمن سلسلة التوريد
  • الأمن في اقتناء أنظمة الشبكات والمعلومات وتطويرها وصيانتها
  • سياسات وإجراءات تقييم فعالية تدابير إدارة مخاطر الأمن السيبراني
  • ممارسات النظافة السيبرانية الأساسية والتدريب على الأمن السيبراني
  • السياسات والإجراءات المتعلقة باستخدام التشفير، والتشفير عند الاقتضاء
  • أمن الموارد البشرية وسياسات التحكم في الوصول وإدارة الأصول
  • MFA والمصادقة المستمرة والاتصالات الآمنة حيثما كان ذلك مناسبًا

ومن المرجح أن يكون لدى معظم الكيانات العاملة في قطاعات البنية التحتية الحيوية بالفعل العديد من هذه التقنيات والتدابير المطبقة، إلى حد ما.

 وسيكون السؤال حول مستوى التفصيل أو التوجيه الذي تلجأ إليه الدول الأعضاء عند تحويل هذه المادة إلى تشريعاتها الوطنية.

ويؤكد التوجيه على أن تنفيذ هذه التدابير يجب أن يأخذ في الاعتبار أحدث المعايير الأوروبية والدولية ذات الصلة، وتكلفة التنفيذ، ودرجة تعرض الكيان للمخاطر، وحجم الكيان واحتمال حدوثه.

للحوادث وخطورتها، بما في ذلك تأثيرها الاجتماعي والاقتصادي. وينبغي استخدام هذه الاعتبارات لتحديد التدابير المناسبة أو المتناسبة.

تغطي المادة 23 من التوجيه التزامات الإبلاغ وتتطلب أنه في حالة وقوع أي حادث له تأثير كبير على تقديم خدماتها، تقوم الكيانات الأساسية والمهمة بإخطار CSIRT أو السلطة المختصة.

 وينبغي تقديم إنذار مبكر في غضون 24 ساعة من علم المنظمات بحادث كبير، ويجب تقديم إخطار أكثر شمولاً بالحادث في غضون 72 ساعة.

تم تفصيل التزامات الإبلاغ الإضافية ضمن التوجيه وسيكون من الضروري لجميع المنظمات المشمولة بـ NIS2 أن تتعرف على هذه الالتزامات بمجرد نقلها إلى قانونها الوطني.

خاتمة

لا يزال الوقت مبكرًا بالنسبة لـ 2 شيكل، وسيعتمد الكثير على العمل المنجز خلال الأشهر الـ 21 المقبلة. 

ومع ذلك، فإن التهديدات السيبرانية التي تحرك هذا التوجيه لن تنتظر، وسوف تفوق الفوائد المترتبة على تحسين تدابير الأمن السيبراني المخاطر.

وبغض النظر عن الصياغة النهائية للإصدارات المحلية من التوجيه، يمكن للمؤسسات الاستفادة من مواكبة NIS2 والتعامل مع سلطات الأمن السيبراني الحالية داخل بلدانها لتطوير استراتيجياتها.

المصدر: idceurope

قد يهمك:

إنشاء حساب خمسات

فتح محفظة بينانس

موقع البحث

إنشاء حساب مستقل | تسجيل الدخول

إنشاء حساب نون

إنشاء حساب إدراك

إنشاء حساب Biteable

© حقوق النشر 2023، جميع الحقوق محفوظة

يتم التشغيل بواسطة سيو ماستر لإدارة المواقع الإلكترونية.

أنت تستخدم إضافة Adblock

يعتمد موقع انشاء على الاعلانات كمصدر لدعم الموقع، يجب عليك ايقاف تشغيل حاجب الاعلانات لمشاهدة المحتوي