NIS2 امتثال checklist: 14 Steps for EU Businesses in Scope: NIS2 applies to more sectors than most businesses realise. هذه القائمة المرجعية المؤلفة من 14 خطوة تغطي الإبلاغ عن الحوادث، وخطر الغير، وضوابط الدخول، وما..
HubSecure BAR عندما تحتاج الأفرقة إلى سجلات مأمونة للموكلين، وجمع الوثائق، وملكية سير العمل، والوصول على أساس الدور، والأدلة على مراجعة الحسابات في مكان عمل محكوم واحد.
The Network and Information Security Directive 2 (NIS2, Directive 2022/2555/EU) replaced NIS1 in 2022 and required member state transposition by October 2024. ووسع نطاقه إلى حد كبير - مما يضيف قطاعات جديدة، ويخفض عتبة الكيانات الأساسية والمهمة، ويدخل المسؤولية الشخصية المباشرة للإدارة العليا عن حالات فشل الامتثال.
إذا كانت مؤسستك ضمن النطاق، فإليك قائمة التحقق من الامتثال العملي التي تغطي ما يفحصه مشرفو NIS2.
مسار الشراء ذو الصلة HubSecure
دليل AML/KYC & Onboarding برنامج تأهيل العميل وحدة AML/KYC مقارنة Sumsub دليل برامج الامتثال AML/KYC دليل المكتبة احجز عرضًا توضيحيًا لسير العمل
موارد الأمان والخصوصية والحوكمة ذات الصلة
تابع مع مركز الأمان والثقة HubSecure، واتفاقية معالجة البيانات، والمعالجات الفرعية، وسير عمل الامتثال، ومشغل الذكاء الاصطناعي المحكوم.
حالة الاستخدام ذات الصلة
ينتمي هذا الدليل إلى مجموعة بدائل مساحة العمل وأدلة دمج الأدوات. تابع مع مركز المنتج للحصول على بدائل مساحة العمل ودمج الأدوات.
هل أنت في نطاق؟?
ينطبق NIS2 على المنظمات في 18 قطاعًا مصنفة على أنها "أساسية" أو "مهمة". إذا كان لدى مؤسستك أكثر من 50 موظفًا أو يبلغ حجم مبيعاتها السنوية أكثر من 10 ملايين دولار وتعمل في أي من هذه القطاعات، فمن المحتمل أن تكون في نطاق:
- الطاقة (الكهرباء، النفط، الغاز، التدفئة المركزية، الهيدروجين)
- النقل (الجوي، السكك الحديدية، المياه، الطرق)
- البنية التحتية المصرفية والأسواق المالية
- الصحة (المستشفيات، المختبرات، الأدوية، الأجهزة الطبية)
- المياه (مياه الشرب، مياه الصرف الصحي)
- البنية التحتية الرقمية (DNS، السحابة، مراكز البيانات، CDN، TSPs)
- إدارة خدمات تكنولوجيا المعلومات والاتصالات (MSPs، MSSPs)
- الإدارة العامة
- فضاء
- خدمات البريد والبريد السريع
- إدارة النفايات
- المواد الكيميائية والأغذية والتصنيع ومقدمي الخدمات الرقمية والأبحاث
ملاحظة لشركات الخدمات المالية: البنوك وشركات الاستثمار الخاضعة لقانون مرونة العمليات الرقمية (DORA) لديها متطلبات متداخلة ولكنها متميزة. 2 شيكل هو خط الأساس؛ تعتبر DORA أكثر تحديدًا للكيانات المالية ولها الأسبقية عندما تتعارض.
قائمة الامتثال الوطنية الـ 14 خطوة
- 1 سجل مع NCA الوطني الخاص بك. تطلب معظم الدول الأعضاء من الكيانات داخل النطاق التسجيل لدى السلطة الوطنية المختصة (NCA). يختلف الموعد النهائي حسب البلد - تحقق من التنفيذ الوطني لديك.
- 2 تعيين هيئة إدارية مسؤولة. تتطلب المادة 20 من NIS2 من الإدارة العليا الموافقة على تدابير إدارة مخاطر الأمن السيبراني وتكون مسؤولة شخصيًا عن فشل الامتثال. مطلوب CISO مرشح أو ما يعادله.
- 3 إجراء تقييم لمخاطر الأمن السيبراني. قم بتوثيق أصول المعلومات الخاصة بك والتهديدات ونقاط الضعف والضوابط الحالية. ويجب مراجعة ذلك سنويًا على الأقل.
- 4 تنفيذ سياسة الأمن السيبراني. سياسة مكتوبة تغطي إدارة المخاطر والاستجابة للحوادث والتحكم في الوصول والتشفير واستمرارية الأعمال. يجب أن تتم الموافقة عليه على مستوى مجلس الإدارة/الإدارة العليا.
- 5 قم بإعداد الكشف عن الحوادث وتسجيلها. يجب أن تكون قادرًا على اكتشاف الحوادث الأمنية وتسجيلها والتحقيق فيها. SIEM أو EDR أو الأدوات المكافئة المناسبة لحجمك. يجب الاحتفاظ بالسجلات (عادةً ما يزيد عن 12 شهرًا).
- 6 بناء خطة الاستجابة للحوادث. الإجراء الموثق للاستجابة لحادث الأمن السيبراني: الكشف ← الاحتواء ← الاستئصال ← التعافي ← مراجعة ما بعد الحادث. اختباره سنويا.
- 7 إنشاء عملية الإخطار الأولي على مدار 24 ساعة. بالنسبة للحوادث المهمة، يجب عليك إخطار NCA الخاص بك في غضون 24 ساعة من علمك. "جسيم" يعني: انقطاع الخدمات، أو الخسارة المالية التي تتجاوز الحدود الدنيا، أو اختراق البيانات الذي يؤثر على الكيانات الأخرى. من يرسل هذا الإشعار وكيف؟
- 8 قم ببناء عملية التقرير التفصيلي لمدة 72 ساعة. تقرير كامل عن الحادث خلال 72 ساعة، يغطي الخطورة والتأثير ومؤشرات التسوية وخطوات العلاج الأولية. من يكتب هذا؟ ما هي البيانات التي يحتاجونها؟
- 9 تقييم وإدارة مخاطر سلسلة التوريد. يتطلب NIS2 صراحةً تقييم المخاطر للموردين المباشرين ومقدمي الخدمات. يحتاج موردو تكنولوجيا المعلومات والاتصالات المهمون إلى تقييمات أمنية. ويعد هذا واحدًا من أكثر المجالات التي تعاني من نقص الموارد في برامج الامتثال الحالية.
- 10 تنفيذ التحكم في الوصول وإدارة الوصول المميز. المصادقة متعددة العوامل (MFA) مطلوبة لجميع عمليات الوصول المهمة إلى النظام. تم تطبيق مبدأ الامتياز الأقل. تتم مراجعة الحسابات المميزة بشكل ربع سنوي.
- 11 تشفير البيانات الحساسة أثناء الراحة وأثناء النقل. تم توثيق سياسات تشفير البيانات. معايير التشفير المحددة (الحد الأدنى AES-256 في حالة عدم النشاط، TLS 1.2+ أثناء النقل). تحديد عمليات الإدارة الرئيسية.
- 12 تنفيذ استمرارية الأعمال والنسخ الاحتياطي. تم توثيق واختبار استراتيجية النسخ الاحتياطي. أهداف وقت الاسترداد (RTOs) المحددة للأنظمة الحيوية. التحقق من سلامة النسخ الاحتياطي بانتظام.
- 13 تدريب جميع الموظفين على الأمن السيبراني. التدريب السنوي الإلزامي للتوعية بالأمن السيبراني. تدريب خاص للموظفين ذوي الوصول المميز. تدريب الإدارة على مسؤوليتهم الشخصية بموجب 2 شيكل.
- 14 توثيق كل شيء. يتوقع المشرفون على NIS2 الأدلة، وليس التأكيدات. احتفظ بتوثيق: تقييمات المخاطر (مع التواريخ)، ومراجعات السياسات، وإكمال التدريب، وسجلات الحوادث، وتقييمات الموردين، ونتائج التدقيق. يجب أن تكون حزمة الأدلة هذه قابلة للإنتاج خلال 48 ساعة من طلب الجهة التنظيمية.
ما يبحث عنه المشرفون
استنادًا إلى النشاط الإشرافي المبكر عبر الدول الأعضاء في الاتحاد الأوروبي، تركز عمليات تدقيق NIS2 بشكل كبير على: القدرة على الإبلاغ عن الحوادث (هل يمكنك بالفعل الحصول على تقرير خلال 24 ساعة؟)، وتقييم مخاطر سلسلة التوريد (لم تقم معظم المنظمات بذلك بشكل صارم)، ومساءلة الإدارة العليا (هل يعرف أعضاء مجلس الإدارة مسؤوليتهم الشخصية؟).
تتراوح عقوبة عدم الامتثال من 7 ملايين دولار أو 1.4% من حجم الأعمال السنوي العالمي (الكيانات المهمة) إلى 10 ملايين دولار أو 2% من حجم المبيعات السنوي العالمي (الكيانات الأساسية) - بالإضافة إلى المسؤولية الشخصية عن الإدارة.
متى دخل NIS2 حيز التنفيذ؟
تم نشر NIS2 (التوجيه 2022/2555/EU) في ديسمبر 2022. وكان مطلوبًا من الدول الأعضاء تحويله إلى قانون وطني بحلول 17 أكتوبر 2024. وتنطبق الالتزامات الآن - على الرغم من أن الجداول الزمنية للتنفيذ تختلف باختلاف الدولة العضو.
هل ينطبق NIS2 على شركات الخدمات المالية؟
نعم - تم تضمين البنية التحتية المصرفية والأسواق المالية بشكل واضح في نطاق الكيانات الأساسية لـ NIS2. تحتاج الشركات المالية أيضًا إلى النظر في قانون DORA (قانون المرونة التشغيلية الرقمية)، الذي يتضمن متطلبات محددة لإدارة مخاطر تكنولوجيا المعلومات والاتصالات. وفي حالة تطبيق كليهما، تكون الأولوية لـ DORA للكيانات المالية.
أدوات الامتثال NIS2 وGDPR
تساعد وحدة إدارة الحوادث الخاصة بـ HubSecure وSecure Vault ومسار التدقيق الشركات الخاضعة للتنظيم على تلبية متطلبات تسجيل الحوادث وإعداد التقارير والأدلة الخاصة بـ NIS2. احجز عرضًا توضيحيًا لترى كيف.
Book a demo '#x2192; لمحة عامة عن الأمنالقراءة ذات الصلة:
المصادر الرسمية ومزيد من القراءة
استخدم هذه المصادر العامة للتحقق من الخلفية التنظيمية والمصطلحات. محتوى HubSecure عبارة عن إرشادات حول المنتج، وليس نصيحة قانونية.
مذكرات الموثوقية
وهذا الدليل مكتوب لتقييم المنتجات والعمليات، وليس كمشورة قانونية. أما فيما يتعلق بالتزامات الامتثال، فيؤكد الشروط المتعلقة بمستشار مؤهل أو بالتنظيم ذي الصلة.
المراجع: الأمن؛ إدارة الشؤون السياسية؛ الجهات الفرعية؛ مسرد AML/KYC
استعراض الأفرقة المنظمة
Prepared by the HubSecure editorial team for operators, compliance leaders and IT reviewers evaluating secure client operations software.
المؤلفون: مراجعون؛ سياسة التحرير