متطلبات الامتثال
مع إدخال توجيه الاتحاد الأوروبي لعام 2022/2555، والمعروف اختصاراً بـ NIS 2، زادت متطلبات الامتثال داخل الشركات. يستجيب توجيه NIS 2 للتهديد المتمثل في الهجمات الإلكترونية داخل الاتحاد الأوروبي. ينظم التوجيه الأمن السيبراني وأمن المعلومات للشركات والمؤسسات. وقد أصبحت الهجمات الإلكترونية تُعتبر الآن من أكبر المخاطر التجارية على الشركات على مستوى العالم.
يحل NIS 2 محل التوجيه الأوروبي 2016/1148 (NIS 1) ويهدف إلى المساهمة في تحسين الأمن السيبراني في الاتحاد الأوروبي وحماية الشركات بشكل أفضل. يشكل تنفيذ توجيه NIS-2 أيضًا متطلبات أعلى لإدارة المخاطر والامتثال في العديد من الشركات. إذا لم تُنفذ الإجراءات بشكل مناسب في الشركات، فقد يؤدي ذلك إلى فرض عقوبات، كما توضّح شركة MTR Legal Rechtsanwälte للاستشارات القانونية.
قام الاتحاد الأوروبي باعتماد توجيه NIS-2 في عام 2023 ويجب على الدول الأعضاء تنفيذه في القوانين الوطنية بحلول عام 2025. الشركات المتأثرة بالتوجيه تعتمد على نوع نشاطها. تم توسيع التوجيه ليشمل شركات أخرى تُعتبر أساسية (essential) ومهمة (important). يؤدي ذلك إلى زيادة كبيرة في عدد الشركات والمؤسسات التي لديها التزامات قانونية تجاه المكتب الفدرالي لأمن تكنولوجيا المعلومات (BSI).
البنى التحتية الحيوية المتأثرة
تشمل البنى التحتية الحيوية التي كانت تحت توجيه NIS-1 مثل الطاقة، والنقل، والرعاية الصحية، والتمويل، وإمدادات المياه والبنية الرقمية، قطاعات إضافية متأثرة بتوجيه NIS-2. وتشمل هذه الخدمات العامة الإلكترونية، والخدمات الرقمية الأخرى مثل المنصات الاجتماعية، وإدارة مياه الصرف والنفايات، وخدمات البريد والبريد السريع، والإدارة العامة، أو الشركات المصنعة للمنتجات الحيوية. بحسب التقديرات، سيتأثر حوالي 29,000 شركة في ألمانيا عبر القطاعات بتنفيذ توجيه NIS-2. من المتوقع أن يُطلب من الشركات المتوسطة والكبيرة في القطاعات الحيوية اتخاذ تدابير مناسبة للأمن السيبراني وإنشاء امتثال فعال. ويُطلب منها أيضًا إبلاغ السلطات المختصة عن الحوادث الأمنية التي تشمل اضطرابات أو أضرار كبيرة.
يحتوي توجيه NIS-2 أيضًا على أحكام للإشراف والتنفيذ والمراجعات الطوعية النظرائية لتعزيز الثقة المتبادلة والأمن السيبراني في الاتحاد الأوروبي بأسره. وهذا يعني أيضًا أن الإدارة تقف في مسؤولية الحساب، إذا لم يتم الامتثال لتدابير إدارة الأخطار السيبرانية.
الاستجابة لتهديدات الأمن السيبراني
مع توجيه NIS-2 يتم أيضاً إنشاء شبكة من فرق الاستجابة لحوادث أمن الحاسوب للتشاور حول التهديدات الأمنية والاستجابة للحوادث بشكل مناسب. بالإضافة إلى ذلك، يتم إنشاء شبكة أوروبية من منظمات الاتصال للأزمات السيبرانية. تدعم هذه الشبكة تبادل المعلومات بشكل منتظم بين الدول الأعضاء والهيئات الأوروبية للاستجابة للحوادث والأزمات واسعة النطاق.
غير واضح حتى الآن كيف سيتم تحويل NIS 2 إلى قانون وطني في ألمانيا. السبب هو أن تنفيذها تأخر بسبب الانتخابات البرلمانية المبكرة. ومع ذلك، من الواضح أنه مع تنفيذها سيناقش أمن المعلومات في العديد من الشركات المتوسطة.
يتعين على الشركات تنفيذ تدابير أمنية
يتم تحديهم بموجب NIS 2 لتنفيذ التدابير الأمنية اللازمة لحماية البيانات والبنية التحتية الحيوية من الهجمات الإلكترونية المحتملة. يجب اتخاذ التدابير التقنية والتنظيمية اللازمة. إذا أصبحت الشركة ضحية لهجوم إلكتروني، يجب أن تكون هناك خطط لاحتواء الضرر بشكل عاجل واستعادة الأنظمة. كما يجب إبلاغ السلطات المختصة. بالإضافة إلى ذلك، يتعين على الشركات إجراء اختبارات منتظمة للكشف عن الثغرات ومعالجتها. يجب أن يظل الأمن السيبراني موجودًا أيضًا داخل سلسلة التوريد. لذلك، يجب الاستجابة للمخاطر هنا أيضًا.
تشكل تنفيذ توجيه NIS-2 تحديات لتحقيق الامتثال الفعال في الشركات المتأثرة، خاصة إذا كان من الممكن أن تُحمل المجالس والهيئات التنفيذية المسؤولية الشخصية إذا لم يتم تنفيذ التدابير الأمنية اللازمة.
تساعد MTR Legal Rechtsanwälte الشركات في تنفيذ أنظمة امتثال فعالة وتضمن الامتثال للمتطلبات القانونية. كشركة استشارات قانونية، تقدم MTR Legal النصح في الامتثال ومواضيع أخرى في قانون الجرائم الاقتصادية.
يرجى الاتصال بنا!
