.svg){kind=small}
.svg){kind=small}
.svg){kind=small}
مقدمة: نموذج جديد لأمن تكنولوجيا المعلومات
يمثل التوجيه NIS2، الذي دخل حيز التنفيذ في 17 يناير 2023 (16 أكتوبر في إيطاليا)، تغييرًا عميقًا عن التوجيه السابق الخاص بنظام المعلومات الوطنية. يهدف هذا الإطار التنظيمي إلى إنشاء استراتيجية سيبرانية مشتركة لجميع الدول الأعضاء في الاتحاد الأوروبي، بهدف رئيسي يتمثل في زيادة مستويات أمن الخدمات الرقمية في جميع أنحاء الاتحاد الأوروبي
لقد بدأ رسمياً موسم تنفيذ التوجيه الأوروبي NIS2 الخاص بنظام معلومات الأمن القومي الأوروبي، وهو ما يمثل تغييراً أكثر من مهم في نهج إدارة أمن المعلومات.
ومع تقديرنا للجهود التواصلية التي تبذلها الوكالة الوطنية للأمن السيبراني (NCA)، والتي تضع جانب عملية القمع والعقوبات في المرتبة الثانية بعد تعزيز المشاركة الفعالة، إلا أنه من الواضح أن عملية تنفيذ أهداف التوجيه لا يمكن حلها فقط في إطار الانصياع الشكلي لنظام إدارة الأمن - ما يشار إليه عادةً باسم "الأمن الورقي" - بل يتطلب الأمر جهدًا كبيرًا لتحديد أهداف أمنية ملموسة ومستدامة.
امتداد المحيط: من يشارك في NIS2
يمثل توجيه NIS2 خطوة مهمة نحو مزيد من الأمن السيبراني والمرونة المشتركة في جميع أنحاء أوروبا. عندما يتعلق الأمر باللوائح والتوجيهات، ترى العديد من الشركات أن الامتثال هو الهدف النهائي: شيء يجب أن تمتثل له من خلال تلبية الحد الأدنى من المتطلبات. ومع ذلك، ينبغي النظر إلى ذلك على أنه نقطة البداية لتحقيق مستويات أعلى من الأمن السيبراني.
ينبع التوجيه NIS2 من إصلاح شامل لنظام المعلومات الوطنية ويمثل خطوة مهمة أخرى نحو التعريف الكامل للاستراتيجية السيبرانية الأوروبية، حيث يوفر استجابات منسقة ومبتكرة كافية من قبل الدول الأعضاء لضمان استمرارية الخدمات الرقمية في حالة وقوع حوادث أمنية.
يوسع التوجيه NIS2 نطاق التطبيق بشكل كبير مقارنةً بالتوجيه السابق الخاص بالتقارير الوطنية للمعلوماتية، بما في ذلك القطاعات الحيوية مثل إدارة النفايات والنقل وصناعة الأغذية وإمدادات مياه الشرب وتوزيعها والبنية التحتية الرقمية والإدارة العامة والإنتاج والبحث والتطوير في مجال الأدوية والأجهزة الطبية وقطاع الفضاء.
ينص المرسوم التشريعي رقم 138/2024، الذي ينقل توجيه NIS2 إلى القانون الإيطالي، على أن الأحكام ستطبق اعتبارًا من 16 أكتوبر 2024.
لن تنطبق اللائحة على الشركات الصغيرة ما لم يتم تحديد الكيان على أنه "مهم" بالمعنى المقصود في توجيه RCE، أو مزود لشبكات الاتصالات الإلكترونية العامة، أو مزود خدمة ثقة، أو يندرج ضمن فئات محددة أخرى تعتبر أساسية.
ينطبق نظام NIS2 أيضًا على الشركات التي يقل عدد موظفيها عن 50 موظفًا إذا كانت تقدم خدمة أساسية في دولة عضو، أو إذا كانت خدمتها ضرورية للسلامة العامة أو الأمن أو الصحة العامة، أو إذا كانت جزءًا من سلسلة التوريد لشركة أساسية أو مهمة.
القضايا الحرجة الرئيسية للمؤسسات
1. تعقيد النموذج متعدد الطبقات ومشاكل التصنيف
وينعكس هذا التعقيد التشغيلي في اختيار المشرع الإيطالي لنموذج "الطبقات". الطبقة الأولى هي الطبقة القياسية، أي من الموضوعات الأساسية أو المهمة، التي تتجاوز حدود الحجم للمؤسسات الصغيرة. أما الطبقة الثانية فتتكون من تلك الكيانات التي، بغض النظر عن حجمها أو رقم أعمالها، تندرج ضمن فئات محددة محددة.
هناك مشكلة كبيرة تتعلق بالقياس الفعلي لجانب الحجم، وذلك بسبب الإشارة إلى مفهوم "المؤسسات التابعة" الذي لا يوجد دائماً وضوح تام في الرؤية في عالم الأعمال.
إن الارتباط بين شركتين أو أكثر، من الناحية النظرية، مستقل عن نية تشكيل مجموعة رسمية حقيقية، مع ما يترتب على ذلك من استبعاد من مجموعة الشركات الصغيرة والمتوسطة الحجم تلك الكيانات التي، حتى لو تم النظر إليها بشكل فردي، لن تصل إلى حدود الحجم المنصوص عليها في القاعدة.
2. الأعباء الاقتصادية والتنظيمية
وعندما ننتقل من مثالية العملية إلى النهج الملموس، فإن المشكلة تختلف إلى حد ما، حيث أنها تصطدم بالبعد الاقتصادي لبلد يتكون هيكله الأساسي من عدد كبير من المؤسسات الصغيرة والمتوسطة الحجم. ويشكل ذلك تحدياً كبيراً في تنفيذ النظام الوطني للمعلومات الائتمانية 2، الذي قد يكون مرهقاً بشكل مفرط للواقع الأصغر حجماً.
تم إنشاؤه بهدف تحسين الأمن السيبراني في الاتحاد الأوروبي، والعقوبات الواردة في توجيه NIS2 هي عقوبات إدارية وجنائية بحتة. قد يخضع المشغلون الأساسيون لغرامات إدارية تصل إلى 10 ملايين يورو أو 2 في المائة من إجمالي المبيعات العالمية. ومن ناحية أخرى، قد يخضع المشغلون الرئيسيون لغرامات تصل إلى 7 ملايين يورو أو ما يصل إلى 1.4% من إجمالي المبيعات العالمية.
3. مسؤولية الإدارة
يقدم المرسوم التشريعي أمرًا مؤكدًا: ستكون هناك مسؤولية تقع على عاتق هيئات الإدارة والهيئات الإدارية. وستُدعى هيئات إدارة الشركات إلى القيام بدور نشط في الامتثال للتشريع، وسيتعين عليها الموافقة على تنفيذ تدابير إدارة المخاطر الأمنية، والإشراف على تنفيذ الالتزامات المنصوص عليها في التشريع، وستتحمل المسؤولية عن الانتهاكات.
4. الإبلاغ عن الحوادث وإدارة المخاطر
ويعزز مرسوم النقل متطلبات الإبلاغ عن الحوادث، حيث ينص على ضرورة إبلاغ فريق الاستجابة للحوادث الأمنية والاستجابة للطوارئ في إيطاليا بالحوادث التي لها تأثير كبير على تقديم الخدمات دون تأخير لا مبرر له. تنص عملية الإخطار على جداول زمنية صارمة: إخطار مسبق في غضون 24 ساعة، وإخطار في غضون 72 ساعة من وقوع الحدث، وتقرير نهائي في غضون شهر واحد من وقوع الحدث.
يحدد توجيه NIS2 عددًا من المتطلبات الرئيسية التي يجب على المؤسسات الوفاء بها لضمان مستوى عالٍ من الأمن السيبراني. وتشمل هذه المتطلبات ما يلي: تحليل المخاطر وسياسات أمن نظم المعلومات، واستراتيجيات تقييم فعالية تدابير إدارة المخاطر، وممارسات النظافة الرقمية الأساسية والتدريب على الأمن السيبراني.
5. التركيز على سلسلة التوريد
ويتضح أن التشريع الذي ينقل توجيه نظام المعلومات الوطنية 2 لا يركز فقط على القطاعات التي تعتبر بالغة الأهمية أو الحرجة، ولكن، بطريقة بعيدة النظر، على مورديها أيضًا، مما يوسع إلى حد كبير عدد الموضوعات التي من المحتمل أن تتأثر بتطبيق المرسوم التشريعي.
ينص توجيه نظام المعلومات الوطني 2 على أنه يتعين على الكيانات الملزمة اتخاذ تدابير تقنية وتشغيلية وتنظيمية مناسبة ومتناسبة لإدارة المخاطر الأمنية التي تتعرض لها نظم وشبكات المعلومات، مع الأخذ في الاعتبار أيضًا أمن سلسلة التوريد، بما في ذلك الجوانب الأمنية المتعلقة بالعلاقة بين كل كيان ومورديه المباشرين أو مقدمي الخدمات.
المواعيد النهائية الرئيسية التي يجب الوفاء بها
وهكذا يبدأ سباق الامتثال الذي يجب أن يكتمل بحلول أكتوبر 2026. بحلول بداية عام 2025، يجب أن تكون المؤسسات التي تم تحديدها على أنها خاضعة لنظام المعلومات الوطني 2 جاهزة للعمل بجميع التدابير المخطط لها، بما في ذلك أنظمة إدارة أمن تكنولوجيا المعلومات ومسؤوليات الإدارة. بحلول مايو 2025، يجب على المؤسسات تحديث بياناتها في المنصة المؤسسية. في يناير 2026، يدخل الالتزام الرسمي بالإبلاغ عن الحوادث الهامة في الوقت المناسب حيز التنفيذ، وبحلول سبتمبر 2026، يجب أن تكون المؤسسات قد نفذت جميع التدابير الأمنية المطلوبة.
اعتبارًا من 16 أكتوبر 2024، دخلت اللائحة التنظيمية الجديدة لأمن الشبكات والمعلومات (NIS) حيز التنفيذ. ACN هي السلطة المختصة بأمن الشبكات والمعلومات (NIS) ونقطة الاتصال الوحيدة. اعتبارًا من 1 ديسمبر 2024 إلى 28 فبراير 2025، يجب على الشركات المتوسطة والكبيرة، وفي بعض الحالات أيضًا الشركات الصغيرة والمتناهية الصغر، والإدارات العامة التي ينطبق عليها التشريع الجديد التسجيل في بوابة خدمة ACN.
الخاتمة: نقلة نوعية ضرورية ولكنها صعبة
أدى تزايد الترابط والرقمنة في المجتمع إلى زيادة تعرض المؤسسات والشركات والمواطنين للتهديدات السيبرانية.
لقد قطعت الإدارة العليا للوكالة الوطنية للأمن السيبراني التزامًا علنيًا بجعل هذه العملية مستدامة، وهو ما يمكن أن يمثل حقًا نقطة تحول في قدرة البلاد على التعامل مع التهديدات المتزايدة. سيكون من الضروري الانتظار لنرى كيف سيتمكن النسيج الإنتاجي والإداري في البلاد من الاستجابة لما هو واضح تمامًا أنه نقطة تحول ثقافي عميق، وكما هو بديهي لن يكون الأمر نزهة في الحديقة أو "محايد التكلفة".
وبالتالي، فإن التكيف مع المعيار الوطني للمعلوماتية 2 لا يقتصر على الامتثال للمعيار فحسب، بل يمكن أن يكون فرصة جيدة لإدخال ثقافة أمنية بالإضافة إلى أفضل الممارسات التقنية والتنظيمية في الشركة، مما قد يرفع مستوى أمن تكنولوجيا المعلومات إلى حد كبير. ومع ذلك، من المهم البدء في إعداد خطة للتكيف على الفور من أجل مواءمة مختلف أصول الشركة وموظفيها على مراحل مع دورات تدريبية دورية مناسبة.
حتى لو لم تكن من الشركات الملزمة بالامتثال لتوجيهات NIS2، فإن البدء في دورة توعية حول المخاطر السيبرانية أمر مهم لحماية مستقبل أعمالك.
وبالتالي، يمثل نظام NIS2 تحديًا معقدًا ولكنه ضروري للشركات الإيطالية. وفي حين أنه يفرض التزامات ومسؤوليات جديدة قد تبدو مرهقة، إلا أنه يوفر أيضاً فرصة لإعادة التفكير في أمن تكنولوجيا المعلومات كعنصر استراتيجي وليس مجرد تكلفة.
.webp){kind=small}
