متاهة الامتثال لـ NIS2: كيف تعيد لائحة الاتحاد الأوروبي 2024/2690 رسم خط الأمن السيبراني لمشغّلي البنى التحتية الحيوية في أوروبا

مقدمة: في عالم الأمن السيبراني الأوروبي، الأرض تتحرك - وبسرعة. فبينما بدأت المؤسسات بالكاد تستوعب المتطلبات الواسعة لتوجيه NIS2، يدخل إلى الحلبة لاعب ثقيل جديد: اللائحة (الاتحاد الأوروبي) 2024/2690. لكن مع انقشاع الغبار، تظهر أحجية امتثال معقدة، تُجبر الكيانات على التنقل بين قواعد متداخلة، وعتبات متغيرة، وشبكة من الالتزامات الوطنية مقابل التزامات الاتحاد الأوروبي. من الذي يملك فعلاً القرار في مرونة الأمن السيبراني - وماذا يعني ذلك للاختراق القادم؟

ساحة المعركة التنظيمية الجديدة

لقد فرض تنفيذ NIS2 (التوجيه (الاتحاد الأوروبي) 2022/2555) بالفعل على البنى التحتية الحيوية الأوروبية - مزودي السحابة، ومشغلي DNS، والخدمات المُدارة، وغير ذلك - إعادة هيكلة ممارساتها الأمنية. ومع ذلك، ومع اللائحة (الاتحاد الأوروبي) 2024/2690، يصبح مشهد الامتثال أكثر تشابكًا. فعلى عكس إطار NIS2 الذي يترك مجالًا للتفسير الوطني، فإن اللائحة 2024/2690 مُلزمة بكل تفاصيلها، ونافذة عبر الاتحاد الأوروبي دون الحاجة إلى نقلها محليًا.

وتحدد اللائحة متطلبات تقنية ومنهجية شديدة التفصيل لإدارة المخاطر، إضافة إلى معايير مُعرّفة بدقة لما يُعد «حادثًا كبيرًا». فعلى سبيل المثال، يصبح الأثر الاقتصادي، وعدد المستخدمين، وحتى نسبة المستخدمين المتأثرين عوامل حاسمة في تحديد ما إذا كان الحادث يفعّل الإبلاغ الإلزامي.

الوطني مقابل الأوروبي: صدام العتبات

وقد ردّت الوكالة الوطنية للأمن السيبراني في إيطاليا (ACN) بمواصفاتها «الأساسية» الخاصة، مع التشديد على المساءلة التنظيمية، والتوثيق الدقيق، والإخطار السريع بالحوادث - حتى عندما يؤثر الحدث على مستخدم واحد فقط. هذا النهج الوطني «الاستباقي» قد يُجبر المؤسسات على الإبلاغ عن حوادث لا تبلغ العتبات الأكثر صرامة وقابلية للقياس في لائحة الاتحاد الأوروبي.

والنتيجة؟ نظام امتثال مزدوج الماسورة: من جهة، العمق التقني والعتبات الموحدة للائحة الاتحاد الأوروبي؛ ومن جهة أخرى، متطلبات السلطات الوطنية الثقيلة في الحوكمة والأقل في العتبات. وبالنسبة للمؤسسات العاملة في إيطاليا ودول أعضاء أخرى، يعني ذلك السير على حبل قانوني مشدود - موازنة الحاجة إلى تلبية مجموعتي الالتزامات دون الاصطدام بأي منهما.

دليل الامتثال: متكامل أم مجزأ؟

يحذّر الخبراء من أن النهج الوحيد القابل للدفاع هو التكامل. فاللائحة الأوروبية تحدد الحد الأدنى غير القابل للتفاوض، بينما تعمل المتطلبات الوطنية كضمانات إضافية - خصوصًا في نظر الجهات التنظيمية الوطنية. وهذا يعني أن على المؤسسات توثيق ليس فقط ضوابطها التقنية، بل أيضًا مبررات أي انحرافات، كما تسمح بذلك بنود المرونة في اللائحة.

وعندما يتعلق الأمر بالإبلاغ عن الحوادث، فإن المسار الأكثر حذرًا هو إخطار السلطات الوطنية حتى لو كان الحدث دون عتبة الأهمية لدى الاتحاد الأوروبي - مع الإشارة إليه على أنه إفصاح «تحفّظي» وفق القواعد الوطنية، لكن مع تمييزه بوضوح عما يعتبره الاتحاد الأوروبي حادثًا كبيرًا بحق.

الخلاصة: الطريق إلى الأمام

ومع تطور نظام NIS2، يجب على المؤسسات أن تصبح ماهرة في قراءة ما بين السطور - فهم ليس فقط ما يقوله القانون، بل كيف تتفاعل القواعد المتداخلة. ومع اقتراب أكتوبر 2026 كموعد نهائي للامتثال الكامل، لن يكون آمنًا حقًا إلا من يتقن هذه المتاهة التنظيمية. الاتحاد الأوروبي يرسل رسالة: في الأمن السيبراني، السقف يرتفع - والجهل لم يعد دفاعًا.

WIKICROOK

• توجيه NIS2: توجيه NIS2 هو قانون في الاتحاد الأوروبي يُلزم القطاعات الحيوية ومورّديها بتعزيز الأمن السيبراني والإبلاغ عن الحوادث السيبرانية الخطيرة.
• اللائحة (الاتحاد الأوروبي) 2024/2690: تحدد لائحة الاتحاد الأوروبي 2024/2690 متطلبات الأمن والإبلاغ عن الحوادث لمقدمي الخدمات الرقمية، بما يضمن معايير أمن سيبراني موحّدة عبر الاتحاد الأوروبي.
• مواصفات ACN: مواصفات ACN هي قواعد إيطالية للأمن السيبراني تضعها الوكالة الوطنية للأمن السيبراني، وتركّز على الحوكمة والكشف المبكر والاستجابة القوية للحوادث.
• حادث كبير: الحادث الكبير هو حدث سيبراني يسبب أو قد يسبب اضطرابًا كبيرًا أو خسارة مالية أو ضررًا اجتماعيًا، ويتطلب استجابة عاجلة.
• الامتثال: الامتثال يعني الالتزام بالقوانين والمعايير الصناعية، مثل GDPR، لحماية البيانات والحفاظ على الثقة وتجنب العقوبات التنظيمية.