- "إن إس 2" هو توجيه أمن الفضاء الإلكتروني المستكمل للاتحاد الأوروبي - نطاق أوسع من "إن آي 1"، متطلبات أشد صرامة
- إنها تنطبق على "أساسية" و"مهمة" الكيانات عبر 18 قطاعاً
- الالتزام الأساسي: إبلاغ سلطاتكم الوطنية بحوادث هامة في غضون أطر زمنية محددة
- يلبي سير عمل إدارة الحوادث المنظم متطلبات إعداد التقارير تلقائيًا إذا تم إعداده بشكل صحيح
NIS2 - التوجيه رقم 2 لأمن الشبكات والمعلومات في الاتحاد الأوروبي - دخل حيز التنفيذ في أكتوبر 2024 عندما طُلب من الدول الأعضاء في الاتحاد الأوروبي تحويله إلى قانون وطني. إذا كنت شركة أوروبية في قطاع منظم أو بالغ الأهمية، أو موردًا لأحد القطاعات، فسيتم تطبيق 2 شيكل عليك - ونظام العقوبات خطير: ما يصل إلى 10 ملايين يورو أو 2٪ من حجم المبيعات السنوية العالمية للكيانات الأساسية.
هذه المقالة ليست نصيحة قانونية، ويختلف تطبيق NIS2 حسب الدولة العضو. ما هو عليه هو شرح باللغة الإنجليزية البسيطة لما يتطلبه التوجيه فعليًا ولماذا يعد سير عمل إدارة الحوادث المنظم هو الطريقة الأكثر عملية للوفاء بالالتزام الأساسي.
مسار الشراء ذو الصلة HubSecure
دليل الامتثال لإدارة علاقات العملاء (CRM) الامتثال لإدارة علاقات العملاء (CRM) للشركات النامية وحدة إدارة علاقات العملاء (CRM) مقارنة HubSpot دليل الامتثال لإدارة علاقات العملاء (CRM) دليل المكتبة احجز عرضًا توضيحيًا لسير العمل
موارد الأمان والخصوصية والحوكمة ذات الصلة
تابع مع مركز الأمان والثقة HubSecure، واتفاقية معالجة البيانات، والمعالجات الفرعية، وسير عمل الامتثال، ومشغل الذكاء الاصطناعي المحكوم.
حالة الاستخدام ذات الصلة
ينتمي هذا الدليل إلى مجموعة بدائل مساحة العمل وأدلة دمج الأدوات. تابع مع مركز المنتج للحصول على بدائل مساحة العمل ودمج الأدوات.
الذي ينطبق NIS2 على
يقسم NIS2 الكيانات إلى فئتين - "أساسية" و"مهمة" - عبر 18 قطاعًا. وتشمل القطاعات الرئيسية ما يلي:
الحد الأدنى للكيانات "المهمة" هو بشكل عام أكثر من 50 موظفًا أو 10 مليون يورو + إيرادات سنوية. ولكن هناك استثناءات - يمكن لمشغلي البنية التحتية الحيوية أن يكونوا في النطاق بغض النظر عن الحجم، ويمكن للدول الأعضاء تعيين كيانات إضافية.
وبعيدًا عن التطبيق المباشر، هناك بُعد سلسلة التوريد. يتطلب NIS2 كيانات أساسية ومهمة لإدارة مخاطر الأمن السيبراني في سلاسل التوريد الخاصة بهم - مما يعني أن مورديهم يواجهون ضغوطًا لإظهار ممارسات أمنية قابلة للمقارنة حتى لو لم يكونوا ضمن النطاق مباشرة.
ما يتطلبه "إن إس 2" في الواقع
التوجيه لديه العديد من المتطلبات. الشيء الذي تركز عليه معظم الشركات أولاً - لأنه يحتوي على أوضح الآثار التشغيلية - هو الإبلاغ عن الحوادث.
عند وقوع حادث مهم، يجب عليك:
إنذار مبكر للسلطة الوطنية
في غضون 24 ساعة من علمك بالحادث، أرسل إنذارًا مبكرًا. لا يلزم أن يحتوي هذا على الصورة الكاملة — فهو بمثابة إشعار بوقوع حادث وأنك على علم به.
إشعار الحادث
في غضون 72 ساعة، قم بتقديم إخطار كامل بالحادث بما في ذلك طبيعة الحادث والتقييم الأولي للتأثير وأي مؤشرات للتسوية وتدابير الاحتواء الأولية المتخذة.
التقرير النهائي
في غضون شهر واحد من وقوع الحادث، قم بتقديم تقرير نهائي يتضمن وصفًا تفصيليًا وتحليل السبب الجذري والتأثير عبر الحدود (إن وجد)، والتدابير المتخذة لمنع تكرارها.
ما الذي يعتبر حادثًا "كبيرًا"؟ بموجب نظام NIS2، يعتبر الحادث مهمًا إذا تسبب أو كان من الممكن أن يتسبب في تعطيل تشغيلي شديد أو خسارة مالية أو أضرار جسيمة للآخرين. وهذا واسع عمدا. عندما تكون في شك، تقرير. عقوبة النقص في الإبلاغ أعلى من العبء الإداري للبلاغ غير الضروري.
لماذا معظم الشركات ليست مستعدة لذلك
إن متطلبات الإنذار المبكر على مدار 24 ساعة صارمة. بالنسبة إلى شركة تتعقب الحوادث في جدول بيانات مشترك أو سلسلة رسائل Slack، يمثل تجميع إشعار متماسك خلال 24 ساعة من الكشف تحديًا حقيقيًا. أنت بحاجة إلى معرفة متى تم اكتشاف الحادث لأول مرة، ومن قام به، وما هو تقييم الأثر الأولي، وما هي خطوات الاحتواء التي تم اتخاذها بالفعل. إذا كانت هذه المعلومات متناثرة عبر سلاسل رسائل Slack، والملاحظات الشخصية، والذاكرة، فإن نظام الـ 24 ساعة يخلق ضغطًا تشغيليًا حقيقيًا.
إن متطلبات التقرير النهائي لمدة شهر واحد - تحليل السبب الجذري مع جدول زمني موثق وخطوات العلاج - يصعب إنتاجها إذا تم التعامل مع الحادث بشكل غير رسمي. إن إعادة بناء جدول زمني من Slack ورسائل البريد الإلكتروني بعد أسابيع من وقوع الحدث يستغرق وقتًا طويلاً، ونادرًا ما تكون النتيجة كاملة مثل السجل المعاصر.
تغيير سير العمل الذي يغطي معظمه
نظام إدارة الحوادث المنظم - نظام يتم فيه تسجيل كل حادث من لحظة اكتشافه، مع تحديثات ذات طابع زمني في كل مرحلة - ينتج مادة الإبلاغ NIS2 كمنتج ثانوي لسير العمل العادي للحوادث.
فيما يلي كيفية تعيين سير العمل لمتطلبات إعداد التقارير:
- تم اكتشاف الحادث وتسجيله - تم تسجيل الطابع الزمني، وتطبيق التصنيف، والتقاط الوصف الأولي. ويصبح هذا هو الأساس للإنذار المبكر على مدار 24 ساعة.
- التحديثات التي تم تسجيلها أثناء التحقيق - كل إجراء تم اتخاذه، وكل نتيجة، وكل قرار بالتصعيد أو الاحتواء. تصبح هذه إشعارًا بالحادث عند علامة 72 ساعة.
- تم الانتهاء من مراجعة ما بعد الحادث - تحليل السبب الجذري، وإعادة بناء الجدول الزمني، وخطة العلاج. ويصبح هذا التقرير النهائي لمدة شهر واحد.
إذا تم تنظيم سير العمل، يكتب التقرير نفسه. إذا لم يكن الأمر كذلك، فيجب على شخص ما إعادة بنائه تحت ضغط الوقت - وهو المكان الذي تظهر فيه الأخطاء والسهو والمخاطر التنظيمية.
ما بعد الإبلاغ: متطلبات NIS2 الأخرى
يعد الإبلاغ عن الحوادث من المتطلبات التشغيلية الأكثر إلحاحًا، ولكن NIS2 يتطلب أيضًا ما يلي:
- سياسات إدارة المخاطر - سياسات موثقة لمخاطر الأمن السيبراني، بما في ذلك مخاطر سلسلة التوريد
- تخطيط استمرارية الأعمال - خطط موثقة للحفاظ على العمليات أثناء وبعد وقوع حادث كبير
- إدارة الوصول - التحكم في من يمكنه الوصول إلى الأنظمة المهمة، مع وجود مبررات موثقة
- التشفير والتشفير — استخدام التشفير المناسب للبيانات والاتصالات الحساسة
- الأمن في سلسلة التوريد – تقييم الممارسات الأمنية للموردين
تتم معالجة العديد من هذه المتطلبات من خلال الضوابط التشغيلية التي يجب أن تتوفر لدى الإدارة الجيدة لتكنولوجيا المعلومات بالفعل. يقوم NIS2 بإضفاء الطابع الرسمي عليها ويضيف شرط توثيق وإثبات الامتثال.
هل تنتج HubSecure إدارة الحوادث تقارير بتنسيق NIS2؟
HubSecure تتضمن إدارة الحوادث نموذج مراجعة ما بعد الحادث المتوافق مع متطلبات الإبلاغ عن NIS2 - الجدول الزمني، والسبب الجذري، والعوامل المساهمة، وإجراءات العلاج مع المالكين وتواريخ الاستحقاق. يتم إنشاء التقرير من سجل الحادث، وليس كتابته من الصفر. كما ندعم أيضًا تصدير الإنذار المبكر على مدار 24 ساعة بتنسيق متوافق مع معظم بوابات إرسال السلطات الوطنية.
ماذا لو لم نكن متأكدين مما إذا كنا في النطاق؟
هذا سؤال للمستشار القانوني المؤهل في الدولة العضو — يختلف تنفيذ NIS2، والحدود لها فارق بسيط. ما نقوله هو أن الضوابط التشغيلية التي يتطلبها NIS2 - إدارة الحوادث المنظمة، وضوابط الوصول الموثقة، والتشفير، والتخطيط لاستمرارية الأعمال - هي ممارسات جيدة لأي عمل يعتمد على التكنولوجيا بغض النظر عن النطاق الرسمي.
هذا المنشور لأغراض إعلامية فقط ولا يشكل مشورة قانونية. يختلف تنفيذ NIS2 حسب الدولة العضو في الاتحاد الأوروبي. استشر مستشارًا قانونيًا مؤهلًا للحصول على مشورة محددة تتعلق بالتزاماتك.
راجع إدارة الحوادث باستخدام تقارير NIS2 المضمنة
سنتعرف على دورة حياة الحادث الكاملة - الكشف والتصعيد والتحقيق ومراجعة ما بعد الحادث - ونوضح لك كيفية إنشاء تقرير NIS2 تلقائيًا.
Book a demo