القانون الألماني لتنفيذ NIS 2: عصر جديد للامتثال لأمن الفضاء الإلكتروني

التطبيق الأخير لألمانيا لتوجيه الاتحاد الأوروبي لنظم الشبكات والمعلومات 2 (NIS 2)، والمعروف أيضًا باسم قانون تنفيذ NIS2 (NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz أو NIS2UmsuCG)، يمثل تحولاً كبيراً في مشهد الأمن السيبراني في البلاد. بعيداً عن التركيز الأصلي على البنية التحتية الحرجة (KRITIS)، يوسع هذا التشريع الجديد بشكل كبير نطاق الكيانات الملزمة، ويرفع الحوكمة إلى مستوى غرفة الاجتماعات، ويقدّم مستويات كبيرة من المساءلة بين المؤسسات.

مع NIS2UmsuCG، أصبح الامتثال أمرًا حساسًا واستراتيجيًا لأكثر من 29,000 منظمة في ألمانيا.

في منشور اليوم، نستعرض تداعيات NIS2UmsuCG على المنظمات المؤهلة. قبل أن تمضي قدماً، لا تنسى الاطلاع على منشورنا السابق حول دروس الاستجابة للحوادث من عام 2025، هنا.

من يتأثر بالقانون؟

يقدم القانون فئتين رئيسيتين من الكيانات الملزمة، واللتان يتم تحديدهما بشكل أساسي حسب الحجم (متوسطة وكبيرة) والانتماء القطاعي. هذا يشكّل تحولاً عن قيود الخدمات الحرجة الصارمة. هنا معلومات إضافية حول هذا الموضوع:

الفئة (المصطلح الألماني)	المصطلح الأوروبي	المعايير والأثر
مرافق بالغة الأهمية (wesE)	كيانات أساسية	شركات كبيرة تعمل في قطاعات بالغة الأهمية (مثل الطاقة، النقل، الصحة، البنوك، البنية التحتية الرقمية). تخضع للإشراف الاستباقي والصارم وغرامات أعلى.
مرافق مهمة (wE)	كيانات مهمة	شركات متوسطة الحجم تعمل في القطاعات بالغة الأهمية، أو شركات متوسطة / كبيرة في قطاعات أخرى حرجة (بما في ذلك خدمات البريد / التوصيل، إدارة النفايات، إنتاج الطعام، التصنيع). تخضع للإشراف بعد الحدث وغرامات أقل، ولكن لا تزال كبيرة.

تشمل القطاعات المتأثرة (ولكن ليست محدودة بها)، الطاقة، النقل، البنوك، هياكل الأسواق المالية، الصحة، مياه الشرب / مياه الصرف الصحي، البنية التحتية الرقمية، الإدارة العامة، الفضاء، الخدمات الرقمية (مثل خدمات السحابة، والخدمات المدارة)، التصنيع، الكيميائيات، وإنتاج الطعام.

ما هي الالتزامات الأساسية للأعمال التجارية؟

يفرض قانون تنفيذ NIS 2 إجراءات شاملة وقائمة على المخاطر للأمن السيبراني يجب أن تتوافق بشكل إلزامي مع الإجراءات الأمنية المتقدمة وأن تكون موثقة ومراجعة بانتظام. وإليك بعض التفاصيل الإضافية:

إجراءات إدارة المخاطر (المعروفة باسم نهج "جميع المخاطر")

يجب أن تنفذ الكيانات الملزمة مجموعة الحد الأدنى من الإجراءات الفنية والتنظيمية (TOMs) لتغطية:

تحليل المخاطر: إجراء تقييمات شاملة ومنتظمة لمخاطر الفضاء الإلكتروني.
إدارة الحوادث: إجراءات للكشف عن الحوادث، إدارتها، والرد عليها (بما في ذلك إدارة الأزمات والاسترداد).
تخطيط واستمرار الأعمال: الحفاظ على النسخ الاحتياطية المحدثة، خطط الاسترداد، وضمان التشغيل المستمر.
أمن سلسلة التوريد: دمج المتطلبات الأمنية السيبرانية في العقود وإدارة المخاطر مع المورّدين المباشرين ومقدمي الخدمات.
التطوير والصيانة الآمنة: سياسات لتطوير البرمجيات، والصيانة، وإدارة الثغرات الأمنية.
التحكم في الوصول: تنفيذ تحكم دخول قوي، إدارة الأصول، وبشكل حاسم، المصادقة متعددة العوامل (MFA).
التشفير والتشفير: استخدام التشفير للبيانات الحساسة سواء في حالة السكون أو أثناء النقل.
التدريب على الأمن السيبراني: التدريب الإلزامي لجميع الموظفين.

الإبلاغ الصارم عن الحوادث

يُفرض نظام إبلاغ متعدد المستويات لحوادث الأمان الهامة (تلك التي تسبب تعطيلًا كبيرًا للعمليات أو خسارة مالية):

التنبيه الأولي: في غضون 24 ساعة من اكتشاف حادث هام.
تقرير الحادث التفصيلي: في غضون 72 ساعة، بما في ذلك تقييم أولي لخطورة الحادث، السبب، والأثر.
التقرير النهائي: في غضون شهر، يتضمن السبب الجذري، الإجراءات العلاجية، وأي أثر عبر الحدود.

التسجيل ونقطة الاتصال

يجب على الكيانات التسجيل لدى المكتب الفيدرالي لأمن المعلومات (BSI) وإنشاء نقطة اتصال متاحة على مدار الساعة لتلقي وتنفيذ تنبيهات BSI والاتصالات الرسمية.

التزامات الإدارة والموظفين

يحول القانون بشكل جذري الأمن السيبراني من قضية تقنية إلى مسؤولية إدارية استراتيجية.

للإدارة (مجلس الإدارة / المديرين التنفيذيين)

مسؤولية شخصية: الإدارة العليا ملزمة بشكل مباشر وشخصي بالموافقة على تدابير إدارة مخاطر الأمن السيبراني المطلوبة وتنفيذها ومراقبتها.
تفويض التدريب: يجب أن يشارك الهيئات الإدارية بانتظام في تدريب الأمن السيبراني للحصول على المعرفة الكافية لتقييم الامتثال والإشراف عليه.
المسؤولية: يمكن أن تؤدي انتهاكات هذه الواجبات إلى غرامات كبيرة، مع أقصى عقوبات تصل إلى 10 ملايين يورو أو 2٪ من إجمالي الإيرادات السنوية العالمية للكيانات الأساسية، وما يصل إلى 7 ملايين يورو أو 1.4٪ للكيانات المهمة. يزيد هذا بشكل كبير من خطر المسؤولية الشخصية على المديرين التنفيذيين للشركات.

للموظفين والآخرين

التدريب الإلزامي: يجب على جميع الموظفين تلقي تدريب منتظم حول الأمن السيبراني و"نظافة الفضاء السيبراني" الخاص بالقطاع لتقليل خطر الخطأ البشري، الذي يعد عاملاً رئيسياً في العديد من الحوادث السيبرانية.
الالتزام بالسياسات: يجب على الموظفين الالتزام بالسياسات والإجراءات الآمنة التي وضعتها الإدارة، والتي تغطي مجالات مثل التحكم في الوصول، أمان الاتصالات، واستخدام البرمجيات الآمنة.
التزامات المورّدين: يتأثر المورّدون ومقدمو الخدمات للكيانات الألمانية بشكل غير مباشر. يجب عليهم دعم امتثال عملائهم من خلال الالتزام بمتطلبات الأمان التعاقدية الصارمة، وتوفير الوثائق اللازمة، والسماح بحقوق التدقيق.

خارطة الطريق للامتثال: النظر إلى ما بعد 2026

سيتم تفعيل القانون فوراً عند نشره في جريدة القانون الفيدرالية. لا توجد فترات انتقالية مخطط لها وبالتالي يصبح القانون نقطة عمل فورية لجميع المؤسسات التي تقع ضمن نطاقه.

تم إعطاء خارطة الطريق للامتثال أدناه:

المرحلة	الخطوات الرئيسية	النتائج الرئيسية
المرحلة الأولى: التقييم (فوري)	1. تحديد النطاق: تحديد دقيق إذا كان كيانك أساسي أو مهم بناءً على الحجم والقطاع. 2. تحليل الفجوة: إجراء تقييم مفصل يقارن التدابير الأمنية الحالية (التقنية والتنظيمية) بكتالوج قانون تنفيذ NIS 2 الإلزامي (\S 30 BSIG-E).	تقرير التصنيف، تحليل فجوة NIS 2، تقييم المخاطر الأولي.
المرحلة الثانية: الحوكمة والاستراتيجية	3. تأمين قبول المجلس: تثقيف الإدارة، إنشاء هيكل إشراف واضح، وتخصيص الموارد الضرورية. 4. إضفاء الطابع الرسمي على ISMS: إنشاء أو تعديل نظام إدارة أمن المعلومات (ISMS)، على سبيل المثال، بناءً على ISO/IEC 27001 أو BSI IT-Grundschutz، لتلبية المتطلبات القانونية الجديدة.	خطة موافقة المجلس والتدريب، هيكل حوكمة NIS 2، تحديث نطاق ISMS.
المرحلة الثالثة: التنفيذ والتشغيل	5. تنفيذ التدابير: معالجة الفجوات، مع التركيز على MFA، تشفير قوي، تقييم مخاطر سلسلة التوريد، واستمرارية الأعمال / استعادة الكوارث. 6. تشغيل الإبلاغ: إنشاء نقطة اتصال BSI على مدار الساعة وتنفيذ عملية الإبلاغ عن الحوادث ثلاثية المراحل (24/72 ساعة/شهر واحد). 7. تدريب الموظفين والإدارة: إصدار برامج التدريب الإلزامية.	تحديث وثائق TOMs، خطة الاستجابة للحوادث، إثبات التسجيل، سجلات تدريب الموظفين.
المرحلة الرابعة: التحقق والتحسين المستمر	8. التوثيق والتدقيقات: ضمان توثيق جميع التدابير، وإجراء تدقيقات أمنية داخلية/خارجية واختبارات اختراق للتحقق من الفعالية. 9. المراقبة المستمرة: إنشاء عمليات لإدارة المخاطر المستمرة، ومراقبة التهديدات، ومراجعة منتظمة للسياسات للحفاظ على الامتثال "لحالة الفن".	تقارير التدقيق، مقاييس الفعالية، إطار المراقبة المستمرة.

إليك قائمة تحقق مفصلة حول الامتثال لـ NIS2UmsuCG للشركات الألمانية

الفئة	مجال المتطلبات	الإجراء / نقطة العمل	النتيجة الرئيسية
إدارة المخاطر والسياسة	تحليل المخاطر	إجراء وتحديث بانتظام منهجية تقييم المخاطر الشاملة والموثقة لتحديد المخاطر وتحليلها ومعالجتها.	منهجية تقييم المخاطر، سجل المخاطر، خطة معالجة المخاطر
إدارة المخاطر والسياسة	سياسة الأمن	وضع سياسات رسمية حول أمن الشبكة ونظم المعلومات، بما في ذلك الالتزام من الإدارة.	سياسة أمن المعلومات (معتمدة من الإدارة)
إدارة المخاطر والسياسة	الفعالية	تحديد السياسات والإجراءات لتقييم فعالية جميع تدابير إدارة المخاطر الأمنية.	إجراء التدقيق الداخلي، تقرير قياس الفعالية

التعامل مع الحوادث	التعامل	وضع سياسات وإجراءات واضحة وموثقة للكشف عن الحوادث، وإدارتها، والرد عليها.	خطة الاستجابة للحوادث (IRP)، إجراءات إدارة الحوادث
التعامل مع الحوادث	التسجيل والمراقبة	تنفيذ مراقبة مستمرة وتسجيل الأنظمة الحرجة للكشف الفوري والتحليل الجنائي.	سياسة التسجيل، نشر نظام SIEM / الكشف
التعامل مع الحوادث	الإبلاغ	ضمان تشغيل عملية الإبلاغ من ثلاث مراحل لـ BSI واختبارها بانتظام (24/72 ساعة/شهر واحد).	إجراءات الإبلاغ عن الحوادث (متوافقة مع جداول زمنية BSI)

استمرارية الأعمال	النسخ الاحتياطي	تنفيذ واختبار نظام إدارة النسخ الاحتياطي المتين بانتظام، لضمان استعادة البيانات والنظم (يفضَّل نسخ احتياطية غير قابلة للتغيير).	سياسة النسخ الاحتياطي، نتائج اختبار استعادة البيانات
استمرارية الأعمال	استعادة الكوارث	تطوير والحفاظ على خطة استعادة الكوارث (DRP) وخطة استمرارية الأعمال (BCP).	خطة استعادة الكوارث، خطة استمرارية الأعمال
استمرارية الأعمال	إدارة الأزمات	إنشاء قدرة رسمية لإدارة الأزمات وإجراءات للتعامل مع الحوادث الأمنية واسعة النطاق.	خطة تواصل الأزمات، قائمة الاتصال الطوارئ

أمن سلسلة التوريد	تقييم المخاطر	تنفيذ سياسة لتحديد وتقييم ومعالجة المخاطر السيبرانية من سلسلة توريد تكنولوجيا المعلومات والاتصالات والموردين المباشرين.	سياسة إدارة مخاطر سلسلة التوريد
أمن سلسلة التوريد	متطلبات تعاقدية	دمج بنود الأمان التعاقدية القوية التي تفرض الامتثال والإبلاغ وحقوق التدقيق للموردين الحرجين.	نموذج اتفاقية أمن الموردين
أمن سلسلة التوريد	التركيز على الثغرات	النظر في الثغرات الأمنية المحددة لكل مورد مباشر / مقدم خدمة وجودة ممارساتهم في الأمن السيبراني.	جرد وتقييم مخاطر الموردين

أمن النظام	التعامل مع الثغرات الأمنية	وضع عمليات للتعامل مع الثغرات الأمنية بالكفاءة والكشف عنها، بما في ذلك إدارة التحديثات.	سياسة إدارة الثغرات الأمنية، إجراءات إدارة التحديثات
أمن النظام	تطوير آمن	تنفيذ دورة حياة تطوير آمن (SDLC) لضمان بناء الأمان في التصميم.	إرشادات ترميز آمن، سياسة إدارة التكوين
أمن النظام	تقوية النظام	ضمان أن جميع الأنظمة (IT، OT/ICS) تم تكوينها بشكل آمن وتقويتها وفقًا لأفضل الممارسات.	إرشادات تقوية النظام
التحكم في الوصول	التحكم في الوصول	تنفيذ سياسات التحكم في الوصول الصارمة بناءً على مبدأ الامتياز الأقل والحاجة إلى المعرفة.	سياسة التحكم في الوصول، إدارة الوصول على أساس الدور
التحكم في الوصول	المصادقة	فرض استخدام المصادقة متعددة العوامل (MFA) للوصول عن بعد والأنظمة الحرجة.	سياسة المصادقة، سجلات تنفيذ MFA
التحكم في الوصول	التشفير	وضع سياسات وإجراءات لاستخدام التشفير لحماية البيانات الحساسة.	سياسة التشفير والتشفير

أمن الأفراد	أمن الأفراد	تنفيذ مفاهيم لأمن الموارد البشرية، تغطي عمليات مثل الفحوصات الخلفية وإجراءات إنهاء العمل.	إجراءات أمن الموارد البشرية
أمن الأفراد	اتصالات آمنة	ضمان استخدام الاتصالات الصوتية والفيديو والنصوص الآمنة، والأنظمة الاتصالات الطواريء الآمنة.	سياسة الاتصال الآمن
التدريب والنظافة	نظافة الفضاء السيبراني	تنفيذ وتعزيز ممارسات النظافة السيبرانية الأساسية (مثل كلمات مرور قوية، التحديثات في الوقت المناسب).	إرشادات النظافة السيبرانية
التدريب والنظافة	تدريب الموظفين	تنفيذ التدريب المنتظم والإلزامي حول الأمن السيبراني لجميع الموظفين والمقاولين والجسم الإداري.	خطة التدريب السنوية، وثائق تدريب الإدارة