لنبدأ منشور اليوم بمراجعة للواقع. دخلت توجيهات NIS2 حيز التنفيذ في يناير 2023، مع موعد نهائي لنقلها محدد في 17 أكتوبر 2024. هذا الموعد النهائي قد انتهى بالفعل. ومع ذلك، يبقى المشهد مجزأ. اعتبارًا من أوائل 2026، قامت حوالي 14 دولة عضوا في الاتحاد الأوروبي فقط بإكمال عملية النقل. أرسلت المفوضية الأوروبية آراء موجهة إلى 19 دولة عضواً لفشلها في إكمال العملية، محذرة من أن القضايا يمكن أن تُحال إلى محكمة العدل. ألمانيا — التي تضم حوالي 30,000 شركة متأثرة — نفذت قانونها الوطني في ديسمبر 2025 فقط. فرنسا، إيرلندا، وإسبانيا لا تزال تعمل على عملياتها التشريعية.

بالنسبة للمنظمات الواقعة في المنتصف، يخلق هذا وضعًا غير مريح بشكل فريد: أنت ملزم قانونيًا بتوجيهات ذات قواعد تنفيذ وطنية قد لا تكون سارية بالكامل في نطاقك القضائي، بينما الجهات التنظيمية في الدول الأعضاء الأخرى حيث تعمل تقوم بالفعل بالتدقيق. مرحبًا بك في NIS2.

• 14 دولة عضو أكملت عملية النقل اعتبارًا من أوائل 2026

• 19 دولة تلقت آراء موجهة من المفوضية لعدم النقل

• حوالي 75% من المنظمات المستطلعة لم تكن لديها ميزانية مخصصة لتنفيذ NIS2 (ECSO، 2025)

"الامتثال ليس مشروعًا بمعيار نهاية. إنه وضع تشغيلي يجب على مجلس إدارتك أن يكون مسؤولًا عنه. هذا التغيير في العقلية هو التحدي الأكبر في التنفيذ على الإطلاق."

متاهة النقل

إليك المشكلة الهيكلية الأساسية التي تقلل من أهميتها معظم الأدلة: NIS2 هو توجيه، وليس لائحة. كل دولة عضو تنقله إلى قانونها الوطني بتفسيراتها الخاصة، وامتداداتها، وانحرافاتها. هذا ليس قلقًا نظريًا — إنه يتسبب بالفعل في ألم تشغيلي حقيقي لأي منظمة لها وجود في أكثر من دولة واحدة في الاتحاد الأوروبي.

أدخلت بلجيكا سياسة إفصاح إجبارية منسقة حول الثغرات. وسعت إيطاليا قائمة القطاعات المنظمة بما يتجاوز ملاحق NIS2 لتشمل الخدمات القانونية للمتاجر الكبيرة والكيانات الثقافية. تتطلب اليونان تقييمات مخاطر منظمة مع مراجعات سنوية إلزامية وإعلانات الامتثال. تُدير المجر إطارًا قانونيًا مزدوجًا يتطلب من المنظمات الانخراط في مدققين خارجيين معتمدين في غضون 120 يومًا من التسجيل.

بالنسبة لشركة لوجستية متوسطة الحجم تعمل عبر ست دول أعضاء، يعني هذا وجود ستة أطر امتثال متميزة محتملة موضوعة فوق القاعدة المشتركة لـNIS2. تواجه شركات الاتصالات ومقدمو الخدمات السحابية ومتعهدي الخدمات المدارة تعقيدًا أكبر: اعتمادًا على نوع خدمتهم، قد يخضعون لقانون "المقر الرئيسي" أو، على النقيض من ذلك، قوانين كل دولة عضو حيث يقدمون خدماتهم.

ما يجب فعله بشأن ذلك

الإجراءات الممارسية

• قم ببناء مصفوفة اختصاص. قم بتخطيط كل بلد تمارس فيه عمليات أو معالجة بيانات أو تقديم خدمات ضد وضع نقل ذلك البلد وأي انحرافات عن التوجيه الأساسي. قم بتحديث هذه البيانات ربع سنويًا — إنها تتغير بشكل حقيقي.

• لا تعامل الأساس NIS2 كحد الأعلى لك. تجاوزته بالفعل عدة دول أعضاء. اضبط العيار ليتناسب مع الولاية القضائية الأكثر صرامة التي تعمل فيها كمعيار افتراضي.

• حدد نطاق