تتخلف معظم دول الاتحاد الأوروبي عن الموعد النهائي للوفاء بقواعد الأمن السيبراني الجديدة

بدأت لوائح الاتحاد الأوروبي الجديدة التي تتطلب من الشركات تعزيز دفاعاتها السيبرانية بداية بطيئة، حيث فشلت العديد من الدول الأعضاء في اعتماد القواعد في الوقت المناسب للوفاء بموعد نهائي رئيسي للتنفيذ، وفقًا لبحث يراقب التقدم المحرز في التوجيه.

يضع توجيه الأمن السيبراني NIS 2 الخاص بالاتحاد الأوروبي معيارًا عاليًا للشركات فيما يتعلق بأنظمة وممارسات الأمن السيبراني الداخلية الخاصة بها. وهو يفرض متطلبات أكثر صرامة حول إدارة المخاطر والتزامات الشفافية والتخطيط لاستمرارية الأعمال، في حالة حدوث خرق إلكتروني.

وفي يوم الخميس، أصبح التوجيه الجديد قابلاً للتنفيذ رسميًا من قبل الدول الأعضاء. وهذا يعني أنه يتعين على الشركات الآن التأكد من أن عملياتها تتوافق مع القواعد. ومع ذلك، فإن معظم الدول الأعضاء في الاتحاد الأوروبي لم تنفذ بعد قانون الشيكل 2 في قوانينها الوطنية الخاصة بها، مما يعني أن التنفيذ من المرجح أن يكون متقطعًا.

لم تبدأ دولتان – البرتغال وبلغاريا – عملية النقل لـ NIS 2، حيث يتم دمج التوجيهات في القوانين الوطنية للدول الأعضاء في الاتحاد الأوروبي، وفقًا لأداة تعقب من منظمة أبحاث الإنترنت اتحاد أبحاث DNS. ولم تكن حكومتا البرتغال وبلغاريا متاحة على الفور للتعليق عندما اتصلت بهما CNBC يوم الأربعاء.

وقال تيم رايت، الشريك والمحامي التكنولوجي في Fladgate، لشبكة CNBC عبر البريد الإلكتروني: “تختلف حالة التنفيذ بشكل كبير عبر الكتلة”.

NIS 2 – أو توجيه أمن الشبكات والمعلومات 2 – هو توجيه من الاتحاد الأوروبي يهدف إلى زيادة أمان أنظمة وشبكات تكنولوجيا المعلومات عبر الكتلة. تم اقتراح القانون لأول مرة في عام 2020، وهو بمثابة تحديث لتوجيه سابق يسمى ببساطة NIS.

يعمل NIS 2 على توسيع نطاق سابقه لمعالجة تحديات وتهديدات الأمن السيبراني الأحدث، حيث وجد المجرمون طرقًا جديدة لاختراق الشركات وتعريض بياناتها الحساسة للخطر.

وينطبق التوجيه على المنظمات التي تعمل داخل الاتحاد الأوروبي وتقدم الخدمات الأساسية للمستهلكين، بما في ذلك البنوك وموردي الطاقة ومؤسسات الرعاية الصحية ومقدمي الإنترنت وشركات النقل ومعالجي النفايات.

سيكون على الشركات “واجب الرعاية” للإبلاغ عن المعلومات حول نقاط الضعف والاختراقات السيبرانية ومشاركتها مع الشركات الأخرى بموجب اللائحة الجديدة – حتى لو كان ذلك يعني الاعتراف بكونها ضحية لاختراق سيبراني.

إذا وقعت شركة ما ضحية لاختراق إلكتروني، فسيكون أمامها 24 ساعة لتقديم إشعار إنذار مبكر إلى السلطات – وهو جدول زمني أكثر صرامة مما يتعين على شركات النافذة التي تستغرق 72 ساعة لإخطار السلطات بشأن انتهاك البيانات بموجب قانون البيانات العامة لائحة الحماية، وهو قانون منفصل لخصوصية البيانات في الاتحاد الأوروبي.

وسيتعين على الشركات أيضًا فحص بائعي التكنولوجيا الخاصين بها واحدًا تلو الآخر بحثًا عن التهديدات السيبرانية ونقاط الضعف.

وقال رايت من Fladgate أن فعالية NIS 2 كلائحة ستعتمد إلى حد كبير على التنفيذ والإنفاذ المتسقين عبر الدول الأعضاء في الاتحاد الأوروبي.

وقال لـ CNBC: “قد تستهدف الجهات الفاعلة السيئة البلدان المتخلفة في نقل NIS2 أو تبحث عن نقاط الضعف في سلاسل التوريد، وتستهدف البائعين والموردين الأصغر والأقل أمانًا للوصول إلى منظمات أكبر وأكثر حماية بشكل أفضل”.

تعمل الشركات على تحسين عملياتها الداخلية وضوابطها وثقافتها الأوسع حول الأمن السيبراني لسنوات قبل الموعد النهائي يوم الخميس.

وقال كريس غاو، مسؤول السياسة العامة للاتحاد الأوروبي في شركة سيسكو للتكنولوجيا، إن الطبيعة المتقطعة لتنفيذ NIS 2 “قد تفاقمت بسبب التكيف المحلي للقانون”.

وهذا بدوره “يخلق تناقضات قد يكون من الصعب التنقل فيها، خاصة بالنسبة للمؤسسات الصغيرة ذات الموارد المحدودة”، حسبما قال جاو لشبكة CNBC في تعليقات عبر البريد الإلكتروني.

وأوصى بأنه بدلاً من أن “تطغى” التناقضات في التعديلات المحلية على NIS 2، يجب على المنظمات “تحديد جوهر مشترك للضوابط والعمليات الأمنية التي تجعلها في وضع جيد لتلبية وإظهار الامتثال على نطاق واسع.”

بالنسبة للكيانات “الأساسية” مثل شركات النقل والتمويل والمياه، فإن عدم الامتثال لقانون 2 شيكل يمكن أن يؤدي إلى غرامات تصل إلى 10 ملايين يورو (10.9 مليون دولار) أو 2% من الإيرادات السنوية العالمية – أيهما أعلى.

وفي الوقت نفسه، تتطلع الشركات “المهمة” ــ مثل شركات الأغذية، وشركات المواد الكيميائية، وخدمات إدارة النفايات ــ إلى فرض غرامات تصل إلى 7 ملايين يورو أو 1.4% من إيراداتها السنوية العالمية بسبب الانتهاكات.

يمكن أن تواجه الشركات أيضًا تعليقًا محتملاً للخدمة إذا فشلت في الالتزام بـ NIS 2، بالإضافة إلى الإشراف الدقيق.

“يوضح قانون NIS 2 أنه يتم استخدام الغرامات الكبيرة والتعليق المحتمل للخدمة ومراقبة الامتثال كأدوات لتشجيع المنظمات المسؤولة عن الخدمات الحيوية على الاهتمام بتهديدات الأمن السيبراني واستجابتها لها،” كارل ليونارد، الأمن السيبراني في أوروبا والشرق الأوسط وأفريقيا وقال استراتيجي في Proofpoint لـ CNBC.

وأضاف ليونارد: “تم وضع خط أساس فيما يتعلق بإدارة المخاطر وتدابير التخفيف بما في ذلك التعامل مع الحوادث وتدريب الموظفين ومساءلة القيادة وغيرها الكثير”.